0
Bestand Foto
Een backdoor in een server-software management platform wordt gebruikt door honderden bedrijven over de hele wereld aan de kaak gesteld door de onderzoekers.
Kaspersky Lab bleek de geïmplanteerde backdoor ontdekt in een server management software product van NetSarang gebruikt door bedrijven in de financiële dienstverlening, banken, onderwijs, telecom, productie, energie en transport, op dinsdag.
Nagesynchroniseerde ShadowPad, de achterdeur geplant in NetSarang de software, wanneer geactiveerd, liet de aanvallers tot het downloaden van aanvullende malware modules of stelen van vertrouwelijke bedrijfsgegevens.
NetSarang
De onderzoekers voor het eerst kwam door de achterdeur als ze benaderd worden door een partner in juli van dit jaar te onderzoeken van een verdachte domein naam server (DNS), die gegevens opvragen van een systeem die betrokken zijn bij financiële transacties.
Bij het onderzoek van Kaspersky vinden van de oorsprong van deze verzoeken te worden van de legitieme NetSarang software, maar een verborgen kwaadaardige module toegevoegd in een recente versie van de software uitgegeven de verzoeken eens per acht uur, hebben ingegraven in een van de code bibliotheken die worden gebruikt door de software, nssock2.dll.
“Het meest verontrustende bevinding was het feit dat de verkoper niet betekenen voor de software voor het maken van deze verzoeken,” Kaspersky zei.
Informatie geschraapt van deze verzoeken inbegrepen basic systeem informatie, zoals gebruikersnamen, domein namen, en host namen.
Echter, als de gestolen gegevens zijn van belang om de cyberattackers, de malware s command and control (C&C) server zou dan een malware payload te installeren van een volledige backdoor-programma op het slachtoffer systeem.
Eenmaal geïnstalleerd, de hackers kunnen genieten van een open seizoen op het systeem voor de bewaking, de diefstal, het proces voor het maken, uploaden of de implementatie van nieuwe malware geruisloos en zonder detectie.
Kaspersky is nog niet helemaal zeker van de persoon die de module of hoe de besmetting tot stand zijn gekomen.
De security bedrijf zei dat de aanval technieken zijn zeer vergelijkbaar met degenen gekoppeld aan Chinees-sprekende cyberespionage groepen PlugX en Winnti, echter, “een precieze verband is niet vastgesteld.”
Toen de onderzoekers ontmaskerd door de achterdeur, nu herkend als Achterdeur.Win32.ShadowPad.een, zij onmiddellijk contact met NetSarang, die een bijgewerkte versie van de server-management-systeem zonder de malware module.
Een enkel exemplaar van de achterdeur wordt ingezet werd gespot in Hong Kong, maar het onderzoeksteam waarschuwt dat dit kan worden liggen in de wacht op andere geïnfecteerde systemen, en dus bedrijven moeten ervoor zorgen dat de bijgewerkte versie wordt geïnstalleerd zonder vertraging.
“Helaas, de Bouw van de release van onze volledige lijn van producten op juli 18, 2017, was onbewust geleverd met een backdoor, die had het potentieel om te worden uitgebuit door zijn schepper,” NetSarang zei in een verklaring. “De veiligheid van onze klanten en user base is onze hoogste prioriteit en, uiteindelijk, onze verantwoordelijkheid.”
“Het feit dat schadelijke groepen en entiteiten zijn gebruik te maken van commerciële en legitieme software voor illegale winst wordt een steeds groeiende bezorgdheid en een die NetSarang, evenals de anderen in de computer software-industrie, is het nemen van zeer ernstig,” voegde het bedrijf.
Verwante dekking
Dan Stuxnet en Flame: Vergelijking ‘meest geavanceerde’ cybercrimineel bende opgenomen Kaspersky Lab-bestanden meer antitrust-klacht tegen Microsoft tot uitvoering van Externe code fouten bloot in het Kaspersky Server software
Meer nieuws over beveiliging
Trump administratie vraagt gegevens op meer dan een miljoen bezoekers naar de anti-Trump site
Hoe een one-man-hacking bediening was in staat om te infiltreren internationale bedrijven
De beste mobiele Vpn ‘ s kunnen ervoor zorgen dat uw privacy-overal
Die ‘stingray’ detector apps zijn eigenlijk nutteloos, zeggen onderzoekers
0