Zero
File Di Foto
I ricercatori hanno scoperto una nuova versione del DNS Messenger attacco che si maschera come la US Securities and Exchange Commission (SEC) e ospita malware sul compromesso i server del governo.
Mercoledì, protezione ricerche da Cisco Talos ha pubblicato i risultati di un’indagine su un DNS Messenger, un fileless attacco che utilizza le query DNS per spingere dannoso comandi di PowerShell sui computer compromessi.
Una nuova versione di questo attacco, che il team di dire che è “altamente mirati in natura”, ora, i tentativi di compromesso vittima sistemi fingendo di essere il SEC Elettronico di Raccolta dei Dati di Analisi e Recupero (EDGAR), recentemente al centro di una violazione dei dati relativi alle frodi finanziarie — appositamente predisposto e-mail di phishing campagne.
Queste e-mail fasulle, li faceva sembrare legittimo, ma deve vittima aprire e scaricare un allegato dannoso contenute all’interno di un “multi-fase di processo di infezione” inizia.
Gli allegati dannosi utilizzato in questa campagna sono i documenti di Microsoft Word. Tuttavia, piuttosto che l’utilizzo delle macro o oggetti OLE per ottenere un punto d’appoggio in un sistema, la minaccia attori usato meno di un comune metodo di infezione, DDE (Dynamic Data Exchange), per eseguire l’esecuzione di codice e installare un Trojan di accesso remoto (RATTO).
È importante notare che Microsoft dice che il DDE non è sfruttabile problema, ma piuttosto una funzione di “progettazione” e non verrà rimosso.
Talos non è d’accordo e sostiene che la squadra ha assistito DDE “attivamente utilizzato dagli aggressori in natura, come dimostrato in questo attacco.”
Secondo Talos, l’ultima campagna di malware è simile alla sua ultima evoluzione. Il processo di infezione utilizza il DNS record TXT per creare un bidirezionale di comando e controllo (C2) canale, in cui gli attaccanti sono in grado di interagire con il Processore dei Comandi di Windows utilizzando il contenuto del record TXT DNS query e le risposte generate dalla minaccia dell’attore, il server DNS.
Quando è aperto, gli utenti sono invitati a permesso di collegamenti esterni per essere recuperati. Dovrebbe sono d’accordo, il documento dannoso raggiunge un’controllato da un utente malintenzionato di comando e controllo (C&C) server in cui viene eseguita la prima infezione da malware.
Questo malware è stato inizialmente ospitato su un dello stato della Louisiana sito web del governo, “apparentemente compromessa e utilizzato per questo scopo,” secondo il team.
Parlando di ZDNet, Craig Williams, Senior Technical Leader di Cisco Talos ha detto che per il momento i risultati sono stati resi pubblici, i file sono stati rimossi dal server.
I comandi di PowerShell poi entrano in gioco. Il codice viene recuperato, offuscato, e poi giustiziati, che prende il via la persistenza sui sistemi del registro di sistema riscrive, in programma per la creazione di attività e richieste DNS.
“In questo particolare caso, il malware in evidenza la capacità di utilizzare WMI, ANNUNCI, operazioni pianificate, nonché le chiavi di registro per ottenere la persistenza,” i ricercatori fanno notare. “L’uso di DNS come un trasporto per la fase successiva di codice e C2 di comunicazione sta diventando sempre più comune.”
Mentre il team è stato in grado di ottenere la successiva fase di PowerShell codice C2 server, Talos dice che è probabile che le comunicazioni sono limitate per evitare i ricercatori di sicurezza di essere in grado di monitorare il team e le loro tecniche ulteriormente, rendendo più probabile che i loro DNS basato su attacchi possono volare sotto il radar per periodi più lunghi.
Tuttavia, secondo il ricercatore Antonio Yates, egli era in grado di assicurare la finale payload analizzando alcuni dei risultati.
Yates dice che il “carico” è tipico di C&C bot codice, e include la raccolta di informazioni di comandi — suggerendo lo scopo di DNS attacco per cyberespionage.
“Gli aggressori spesso impiegare più livelli di offuscamento, nel tentativo di rendere l’analisi più difficile eludere il rilevamento e la capacità di prevenzione e di continuare a funzionare anche sotto il radar, limitando i loro attacchi solo le organizzazioni che stanno prendendo di mira,” Lui dice. “È anche importante per le organizzazioni di essere a conoscenza di alcuni dei più interessanti tecniche di malware che utilizza per eseguire codice dannoso sui sistemi e guadagno persistenza sistemi una volta che si sono infettati”.
Precedente e relativa copertura
Giudice spacca sconfinato garantisce per identità di anti-Trump utenti del sito Carbanak hacker pivot piano di attacco per obiettivo le banche, l’impresa Mozilla piloti Cliqz motore di Firefox, slurp utente per i dati di navigazione
0