Noll
En it-spionage kampanj är inriktad på den ukrainska regeringen med specialbyggda skadlig kod som skapar en bakdörr in i system för att stjäla data-inklusive inloggningsuppgifter och ljudinspelningar av omgivningen.
Remote access-trojaner kallas Skadedjur och levereras tillsammans med två andra stammar av skadlig kod — Sobaken RÅTTA och Quasar RÅTTA — den senare som är ett open source form av skadlig kod som är fritt tillgängliga på nätet.
De tre formerna av skadlig kod som har attackerat hundratals olika offer i Ukraina, men verkar dela infrastruktur och ansluter till samma ledning och styrning av servrar. Kampanjen har varit närmare av forskare på säkerhetsföretaget ESET, som säger att det har varit aktiv sedan åtminstone oktober 2015.
Upptäckter av Skadedjur, Quadar och Sobaken
Bild: ESET
Ohyra är den mest potenta av de tre formerna av skadlig kod och verkar ha fått uppdateringar från dess skadliga författare.
Förutom att utföra vanliga uppgifter i samband med trojaner, såsom att övervaka vad som händer på skärmen, ladda ner ytterligare nyttolaster och ladda upp filer, det innehåller också en rad ytterligare kommandon för att till fullo att äventyra offrets maskin.
De har kapacitet att göra ljud inspelning av ljud nära offrets dator, ett lösenord stealer som används för att extrahera lösenord från Opera och Chrome webbläsare, och en keylogger.
Ohyra – först identifieras av Palo Alto Networks i januari och sedan uppdateras — har också förmågan att stjäla filer från en USB-enhet. Malware kommer att övervaka disken och stjäla filer som matchar de valda filter av angriparna, som för det mesta, verkar dokument.
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
ESET forskare observera att detta USB-fil-stealer har alltmer använts som ett fristående verktyg sedan April. Det kopior av de relevanta filerna och omedelbart överför dem till attacker ” command and control server.
Förutom att Ohyra, angriparna använder också Quasar och Sobaken trojaner. Quasar är en open-source form av skadlig kod som är utrustade med en rad bakdörr kommandon för att observera och att stjäla från ett infekterat system. Som en följd av det har använts av många olika angripare för ändamål som sträcker sig från spioneri till it-relaterad brottslighet.
Sobaken är en modifierad version av Kvasaren som har haft en rad möjligheter bort. Emellertid, eftersom det betyder att det är förpackade i en mindre körbar, det är lättare att dölja – Sobaken har också varit utrustade med anti-sandlåda och skatteflykt för att hjälpa minskar risken för upptäckt.
“En möjlig förklaring till att använda tre parallella malware stammar är att varje stam är utvecklade oberoende av varandra. Ett annat alternativ är att flera olika malware stammar hade försökt i hopp om att en av dem kommer att glida igenom försvaret,” Kaspars Osis, senior malware forskare på ESET berättade ZDNet.
Som många skadliga kampanjer, första punkten av kompromiss kommer med en phishing e-post utrustade med Microsoft Office-bilaga. Den lockar varierade beroende på den Ukrainska regeringen institutionen är målinriktad, men exempel på ämnen som ingår, de som berör transport-och försvarspolitik.
I vissa fall, attack utnyttjar CVE-2017-0199, fjärrkörning av kod – som blev fixad i April 2017, som anger vissa mål har fortfarande inte tillämpat de relevanta uppdateringar efter mer än ett år.
När den skadliga filen har tappats på target-systemet, det kommer att köras varje 10 minuter för att säkerställa uthållighet på den infekterade maskinen.
Malware kommer att säga upp det om tangentbordslayouten av offret är inte ryska eller ukrainska. Det kommer också att säga upp sig om IP-adressen för maskinen inte är i Ukraina eller Ryssland, vilket visar att detta är en mycket lokal kampanj.
När det kommer till angriparna, forskarna notera att “Även om dessa hot mot aktörer som inte verkar ha avancerade kunskaper eller tillgång till 0-dag sårbarhet, de har varit mycket framgångsrika i att med hjälp av social ingenjörskonst för att både distribuera sina skadliga program och flyger under radarn under en längre tid”.
För närvarande finns ingen tydlig fördelning som kanske bakom attackerna, men Ukraina har länge använts som en test-bed av ryska hackare. Själv avslutande processer i det skadliga programmet visar också att de bakom den inte vill komma ut i världen-åtminstone inte ännu.
Medan skada, leverans av attacker är ganska grundläggande och som ett resultat, forskare säger it-säkerhet medvetenhet utbildning kan gå en lång väg mot att skydda mot denna typ av kampanj.
En fullständig köra ned IOCs av attacken har publicerats i ESET rapport.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Smygande malware mål ambassader i snooping kampanj FN-chefen strävar efter internationella regler för cyberwarfare [MAG]Talos hittar nya VPNFilter malware slår 500K IoT-enheter, främst i Ukraina Kan ryska hackare stoppas? Här är varför det kan ta 20 år [TechRepublic] Malware kampanj expanderar för att lägga till cryptocurrency gruv-och iOS-phishing-attacker.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0