Katrai veiksmīgai infekcijai var izveidot unikālus IoC.
Cloud Atlas uzlaboto pastāvīgo draudu (APT) grupa ir atjauninājusi savu ieroču portfeli ar polimorfiem komponentiem, kas katrai infekcijai rada unikālu kodu.
Pirmo reizi tika atklāts mākoņu atlants, kas pazīstams arī kā sākums pētnieki 2014. gadā pēc uzbrukumiem Krievijā un Kazahstānā. Tajā laikā APT izmantoja CVE-2012-0158, veca Microsoft Office ievainojamība, ko var izmantot, lai veiktu attālās koda izpildes (RCE) uzbrukumus.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
Apdraudējumi joprojām ir aktīvi līdz mūsdienām un atkal ir saistīti ar uzbrukumiem Krievijā, kā arī Portugālē, Rumānijā, Turcijā, Ukrainā un citās valstīs.
Pirmdien Kaspersky pētnieki paziņoja, ka neseno uzbrukumu skaits ir vērsts uz "starptautisko ekonomiku un kosmosa industriju".
Skatīt arī: Lietotne Threesome atklāj lietotāju datus, atrašanās vietas no Londonas līdz Baltajam namam
Emuāra ierakstā, kiberdrošības firma paziņoja, ka grupa izmanto "jaunu veidu, kā inficēt savus upurus un veic sānu kustību, izmantojot [tīklu]".
Pirmais infekcijas ķēdes solis ir hakeriem nosūtīt pikšķerēšanas e-pasta ziņojumu augstvērtīgam mērķim. Katrā ziņojumā ir iekļauts Microsoft Office dokumenta pielikums, kurā ir attālas veidnes, kas pēc lejupielādes piegādās un izpildīs ļaunprātīgas slodzes.
Ļaunprātīga HTML lietotne apkopos operētājsistēmas pamatinformāciju un lejupielādēs citu moduli ar nosaukumu VBShower. VBShower noņems pēc iespējas vairāk infekcijas pierādījumu no mērķa iekārtas, kā arī to izveidot sakaru kanālu starp ļaunprogrammatūru un operatora komandu un kontroles sistēmu (C2) serveris.
CNET: DARPA 10 miljonu dolāru balsošanas mašīnu nevarēja uzlauzt vietnē Defcon (nepareizu iemeslu dēļ)
Gan HTML, gan VBShower komponenti ir polimorfi, kas nozīmē, ka to raksturlielumi nepārtraukti mainās, lai izvairītos no atklāšanas ar parakstu balstītu antivīrusu un drošības risinājumu palīdzību.
"Šī atjauninātā versija tiek veikta, lai padarītu ļaunprogrammatūru neredzamu drošības risinājumiem, kas balstās uz pazīstamiem kompromisa indikatoriem (IoC)," saka Kaspersky. "Tas nozīmē, ka kods abos moduļos būs jauns un unikāls katrā infekcijas gadījumā."
VBShower arī lejupielādēs citu ļaunprātīgu moduli, izmantojot VBS implantu PowerShower, kas ir dokumentu zaglis, kas spēj novākt .txt, .pdf, .xls vai .doc failus. Jebkurš dokuments, kura izmērs ir mazāks par 5 MB un kas ir mainīts 48 stundu laikā pirms inficēšanās, tiks nozagts un nosūtīts uz C2.
Šis uz PowerShell balstīts modulis var arī saņemt papildu PowerShell un VBS moduļus izpildei upura mašīnā, un satur spiegošanas komponentu, kas satver aktīvo procesu sarakstus, taču šķiet, ka šis kods nav pilnībā aktīvs posms.
TechRepublic: 10 populārākās IT tendences pēdējo 20 gadu laikā
APT grupa izmanto arī paroļu uztvērēju, ļaunprātīgi izmantojot atvērtā koda akreditācijas datu atkopšanas rīku, ko sauc par LaZagne. Var tikt lejupielādēta un izpildīta arī cita Cloud Atlas izmantotā aizmugures durvis, kas tika atklāta pirms pieciem gadiem un nav mainījusies.
Pašreizējos kompromisa indikatorus (IoC) var atrast šeit.
Saistītajās ziņās šomēnes Zscaler pētnieki publicēja savus atklājumus uz jaunu Trojas zirgu, kas nodēvēts par Saefko, kas specializējas banku akreditācijas datu un kriptovalūtu maku zādzībās. Ļaunprātīga programmatūra tiek aktīvi pārdota pagrīdes forumos.
Kā viedtālrunī atklāt un iznīcināt spiegprogrammatūru (attēlos)
Iepriekšējais un saistītais pārklājums
-
Jaunais Saefko Trojas zirgs koncentrējas uz jūsu kredītkaršu datu un kriptomaku zādzību
-
Desmit gadus veca attālās koda izpildes kļūda, kas atrasta tālruņos, kurus izmanto Fortune 500
-
Kiberdrošība 101: aizsargājiet savu privātumu no hakeriem, spiegiem un valdības
Vai jums ir padoms? Droši sazinieties ar WhatsApp | Signāls pa tālruni +447713 025 499 vai pa Keybase: charlie0