Nul
Bestand Foto
De dreiging acteurs achter het gebruik van malware ingebed in CCleaner is specifiek gericht op grote tech-bedrijven voor hun intellectuele eigendom.
Volgens het security team van Cisco Systems, Cisco was slechts één van de vele bedrijven die hackers geprobeerd een compromis te sluiten. Microsoft, Samsung, HTC, Sony en Intel, onder anderen, waren mogelijk ook in gevaar.
CCleaner schending, vermeld eerder deze week, betrokken cyberattackers wijzigen legitieme versies van de software om malware bevatten. Geschat wordt dat de bedorven versie van het populaire Android-en Windows-PC cleaner is gedownload ongeveer 2,27 miljoen keer, of met maximaal drie procent van de totale gebruikers.
Piriform, de maker van CCleaner, werd opgepikt door Avast in juli van dit jaar. Avast gelooft het platform is gericht vóór de overname was compleet.
De getroffen versie is 5.33.6162, ontworpen voor 32-bits Windows-machines, uitgebracht op 15 augustus, evenals een versie van CCleaner Cloud, uitgebracht op 24 augustus.
“De besmette versie van CCleaner werd uitgebracht op 15 augustus en ging onopgemerkt door een security bedrijf voor vier weken, met de nadruk op de verfijning van de aanval,” Avast zei eerder deze week. “In onze ogen, het was een goed voorbereide operatie en het feit dat het niet schadelijk zijn voor gebruikers is een zeer goede uitkomst.”
De malware de command-and-control (C&C) server werd afgebroken zodra de bedreiging is gedetecteerd; echter, Cisco zei laat op de woensdag dat dit niet het einde van het verhaal.
Volgens de Cisco Talos security team, de C&C-plaat laat een lading implementatie lijst met een lijst van organisaties “specifiek gericht door de levering van een tweede-fase-lader.”
Cisco
Op basis van een review van de C&C ‘ s het bijhouden van de database — die uitsluitend betrekking heeft op vier dagen in September — ten minste 20 slachtoffer machines van deze bedrijven stonden in de rij om te worden geserveerd secundaire lading.
“Dit zou wijzen op een zeer gericht acteur na waardevolle intellectuele eigendom, de” het team zegt. “Deze nieuwe bevindingen verhogen onze bezorgdheid over deze gebeurtenissen, elementen van ons onderzoek wijzen in de richting van een mogelijk onbekende, verfijnde acteur.”
De C&C-server opgenomen PHP-bestanden die verantwoordelijk is voor de afhandeling van de communicatie tussen geïnfecteerde Pc ‘ s en dreigingen. De server zou in de uitvoering van een reeks controles om te voorkomen dat de inspanningen van de onderzoekers van de veiligheid evenals het verzamelen van informatie van besmette systemen, zoals de versie van het BESTURINGSSYSTEEM, de architectuur, en of admin rechten werden in spelen. Deze informatie werd vervolgens opgeslagen in een SQL database.
Als een systeem voldeed aan de malware-eisen, de tweede lading zou worden ingezet voor het maken van een achterdeur en mogelijk de weg vrijmaken voor aanvallers om informatie te stelen en bespioneren de doelgroep bedrijven.
“De web server bevat ook een tweede PHP-bestand (init.php) die bepaalt kern variabelen en bewerkingen gebruikt,” Cisco zegt. “Interessant is dat deze configuratie geeft “PRC” als u de tijd zone, die komt overeen met de volksrepubliek China (PRC). Het is belangrijk op te merken dat dit niet kan worden gebruikt voor de toerekening aanwijst.”
Geen schade vastgesteld nog niet, maar de toevoeging van deze C&C-instructies geeft aan dat de inbreuk ernstiger is dan eerst geloofd hebben. Gericht op high-profile doelen met een schijnbaar onschadelijk en onschuldig stukje software is een slimme methode, maar het zoeken van informatie uit deze groepen suggereert dat het algemene publiek niet de echte focus van de campagne.
Terwijl Avast heeft aanbevolen dat de consument een update naar een nieuwe versie van de software en het verwijderen van de besmette versie van Cisco is verder gegaan met de aanbevelingen aan bedrijven die betrokken kan zijn.
“Die beïnvloed door deze supply chain aanval niet gewoon verwijderen van de aangetaste versie van CCleaner of update naar de laatste versie, maar moet herstellen van back-ups of het optimaliseren van systemen om ervoor te zorgen dat ze volledig te verwijderen van niet alleen de backdoored versie van CCleaner, maar ook andere malware die kunnen worden woonachtig te zijn op het systeem,” aldus het bedrijf.
Update 11.56 UUR:
Avast heeft gepubliceerd aanvullende bevindingen over de situatie.
In een blog post, het beveiligingsbedrijf zei op 20 machines in een totaal van acht bedrijven waren gericht, “maar gezien het feit dat de logboeken werden alleen verzameld voor iets meer dan drie dagen, het werkelijke aantal van computers van de 2e fase lading was waarschijnlijk minstens in de orde van honderden.”
“Dit is een wijziging van onze eerdere verklaring, waarin we zeiden dat het beste van onze kennis, de 2e fase lading nooit geleverd,” Avast toegevoegd.
Bovendien, de security bedrijf zegt dat de aanval was een ‘typische’ drinkplaats-aanval, die ingezet kwaadaardige Dll ‘ s ontworpen voor het injecteren van schadelijke functionaliteit in legitieme DLL-systemen.
Vorige en aanverwante dekking
Google onthult formeel plan te wantrouwen Symantec certificaten in 2018
De verschuiving zal beginnen met een nieuwe versie van de Chrome webbrowser.
Hackers verborgen malware CCleaner PC-tool voor bijna een maand
Bijgewerkt: 2,27 miljoen gebruikers had de betreffende software geïnstalleerd op 32-bits Windows-machines, CCleaner maker Piriform zei.
Hackers onthullen toonaangevende enterprise security blinde vlekken
Mobiele apparaten en gezichtsherkenning software hebben gemaakt van de lijst van dit jaar.
0