Vermin RAT ir izgatavots pēc pasūtījuma, saņem atjauninājumus un ir daļa no kampaņas, kuras mērķauditorija ir liels skaits cilvēku.
īpaša iezīme
Kiberdrošība IoT un mobilajā pasaulē
Tehnoloģiju pasaule pēdējās divās desmitgadēs ir pavadījusi tik daudz, koncentrējoties uz jauninājumiem, ka drošība bieži vien ir bijusi pārdomāta. Uzziniet, kā un kāpēc tas beidzot mainās.
Lasiet tagadKiberspiegošanas kampaņa ir vērsta pret Ukrainas valdību ar īpaši izveidotu ļaunprātīgu programmatūru, kas rada a aizmugures durvis datu zagšanas sistēmās, tostarp pieteikšanās akreditācijas datus un audio ierakstus vide.
Attālās piekļuves Trojas zirgs tiek saukts par Vermin, un tas tiek piegādāts kopā ar diviem citiem ļaunprātīgas programmatūras celmiem. Sobaken RAT un Quasar RAT — pēdējais ir brīvi pieejams atvērtā pirmkoda ļaunprātīgas programmatūras veids tiešsaistē.
Trīs ļaunprogrammatūras veidi Ukrainā ir uzbrukuši simtiem dažādu upuru, taču šķiet, ka tie koplieto infrastruktūru un savienojas ar tiem pašiem komandu un kontroles serveriem. Kampaņu ir sīki izklāstījis
pētnieki drošības uzņēmumā ESET, kuri apgalvo, ka tā ir bijusi aktīva vismaz kopš 2015. gada oktobra.Kaitēkļu, Quadar un Sobaken noteikšanas
Vermin ir visspēcīgākais no trim ļaunprātīgas programmatūras veidiem, un šķiet, ka tas ir saņēmis atjauninājumus no ļaunprātīgajiem autoriem.
Papildus parasto uzdevumu veikšanai, kas saistīti ar Trojas zirgiem, piemēram, uzraudzīt, kas notiek ekrānā, lejupielādēt papildu lietderīgās slodzes un failu augšupielādes, tajā ir arī papildu komandu kopa, lai pilnībā apdraudētu upura mašīna.
Tie ietver iespēju veikt skaņas audio ierakstus netālu no upura datora, paroļu zagļu, ko izmanto paroļu iegūšanai no pārlūkprogrammām Opera un Chrome, un taustiņu bloķētāju.
kaitēkļi - janvārī pirmo reizi identificēja Palo Alto Networks un kopš atjaunināšanas — ir arī iespēja nozagt failus no USB diska. Ļaunprātīga programmatūra pārraudzīs disku un nozags failus, kas atbilst izvēlētajam uzbrucēju filtram, kas lielākoties parādās dokumentos.
SKATĪT: Kas ir ļaunprātīga programmatūra? Viss, kas jums jāzina par vīrusiem, Trojas zirgiem un ļaunprātīgu programmatūru
ESET pētnieki atzīmē, ka šis USB failu zaglis kopš aprīļa arvien vairāk tiek izmantots kā atsevišķs rīks. Tas kopē attiecīgos failus un nekavējoties augšupielādē tos uzbrucēju komandu un kontroles serverī.
Bez Vermin uzbrucēji izmanto arī Trojas zirgus Quasar un Sobaken. Quasar ir atvērtā pirmkoda ļaunprātīgas programmatūras veids, kas aprīkots ar virkni aizmugures durvju komandām inficētas sistēmas novērošanai un nozagšanai no tās. Rezultātā to ir izmantojuši daudzi dažādi uzbrucēji dažādiem mērķiem no spiegošanas līdz kibernoziegumiem.
Sobaken ir modificēta Quasar versija, kurai ir noņemtas vairākas iespējas. Tomēr, tā kā tas nozīmē, ka tas ir iepakots mazākā izpildāmā failā, to ir vieglāk paslēpt — arī Sobaken ir aprīkots ar pretsmilšu kastes un izvairīšanās paņēmieniem, lai palīdzētu samazināt iespēju atklājums.
"Iespējamais skaidrojums trīs paralēlu ļaunprātīgas programmatūras celmu izmantošanai ir tāds, ka katrs celms tiek izstrādāts neatkarīgi. Vēl viena iespēja ir, ka tika izmēģināti vairāki dažādi ļaunprātīgas programmatūras celmi, cerot, ka kāds no tiem izslīdēs cauri aizsardzībai," ZDNet pastāstīja ESET vecākais ļaunprogrammatūras pētnieks Kaspars Osis.
Tāpat kā daudzas ļaunprātīgas programmatūras kampaņas, sākotnējais kompromisa punkts ir a pikšķerēšanas e-pasts aprīkots ar Microsoft Office pielikumu. Lures atšķīrās atkarībā no konkrētā Ukrainas valdības departamenta, uz kuru tika vērsta mērķauditorija, taču priekšmetu piemēri bija tie, kas saistīti ar transportu un aizsardzību.
SKATĪT: Uzvaroša kiberdrošības stratēģija (ZDNet īpašais ziņojums) | Lejupielādējiet pārskatu PDF formātā (TechRepublic)
Dažos gadījumos uzbrukums izmanto CVE-2017-0199, attālas koda izpildes ievainojamību, kas tika izlabots 2017. gada aprīlī, norādot, ka daži mērķi joprojām nav lietojuši attiecīgos atjauninājumus pēc vairāk nekā gada.
Kad ļaunprātīgais fails tiks iemests mērķa sistēmā, tas darbosies ik pēc 10 minūtēm, lai nodrošinātu tā noturību inficētajā datorā.
Ļaunprātīga programmatūra tiks pārtraukta, ja cietušā tastatūras izkārtojums nav krievu vai ukraiņu valodā. Tā tiks pārtraukta arī tad, ja iekārtas IP adrese neatrodas Ukrainā vai Krievijā, norādot, ka šī ir ļoti lokalizēta kampaņa.
Runājot par uzbrucējiem, pētnieki atzīmē, ka: "Lai gan šķiet, ka šiem draudu dalībniekiem nav uzlabotas prasmes vai piekļuves 0 dienu ievainojamības, viņi ir diezgan veiksmīgi izmantojuši sociālo inženieriju, lai izplatītu savu ļaunprātīgo programmatūru un ilgstoši lidotu zem radara no laika."
Pašlaik nav skaidra attiecinājuma uz to, kurš varētu būt aiz uzbrukumiem, bet Krievu hakeri Ukrainu jau sen izmantojuši kā izmēģinājuma vietu. Ļaunprātīgās programmatūras pašizbeigšanās procesi norāda arī uz to, ka tie, kas ir aiz tās, nevēlas, lai tā izkļūtu plašākā pasaulē — vismaz vēl ne.
Lai gan uzbrukumi nodara kaitējumu, tie ir diezgan elementāri, un tāpēc pētnieki saka, ka kiberdrošības izpratnes apmācība var ievērojami palīdzēt aizsargāt pret šāda veida kampaņām.
Pilnīgs uzbrukuma SOK noskrējiens ir publicēti ESET ziņojumā.
LASĪT VAIRĀK PAR KIBERNOZIEDZĪBU
- Slepena ļaunprātīga programmatūra ir vērsta pret vēstniecībām slaucīšanas kampaņā
- ANO vadītājs meklē starptautiskus noteikumus kiberkaram (CNET)
- Talos atrod jaunu VPNFilter ļaunprātīgu programmatūru, kas skar 500 000 IoT ierīču, galvenokārt Ukrainā
- Vai krievu hakerus var apturēt? Lūk, kāpēc tas var aizņemt 20 gadus (TechRepublic)
- Ļaunprātīgas programmatūras kampaņa tiek paplašināta, pievienojot kriptovalūtas ieguvi un iOS pikšķerēšanas uzbrukumus