Nul
En cyber-spionage kampagne er målrettet mod den ukrainske regering med custom-bygget malware, som skaber en bagdør ind i systemer til at stjæle data-herunder login-legitimationsoplysninger og lydoptagelser af omgivelserne.
Fjernadgang trojan hedder Skadedyr og er leveret sammen med to andre stammer af malware — Sobaken ROTTE og Quasar ROTTE — sidstnævnte som er en open source form for malware frit tilgængeligt online.
De tre former for malware har angrebet hundredvis af forskellige ofre i Ukraine, men synes at dele infrastruktur og oprette forbindelse til den samme kommando-og kontrol-servere. Kampagnen har været beskrevet af forskere ved sikkerhedsfirmaet ESET, der siger, at det har været aktive siden mindst oktober 2015.
Fund af Skadedyr, Quadar og Sobaken
Billede: ESET
Skadedyr er den mest potente af de tre former for malware og synes at have fået opdateringer fra sine ondsindede forfattere.
Ud over at gennemføre de sædvanlige opgaver i forbindelse med trojanske heste, såsom at overvåge, hvad der sker på skærmen, downloade yderligere nyttelast og uploade filer, den indeholder også en række supplerende kommandoer til det formål fuldt ud at gå på kompromis offerets maskine.
De har kapacitet til at foretage lydoptagelse af lyd i nærheden af ofrets computer, et password stealer, der anvendes til at udtrække adgangskoder fra Opera og Chrome browsere, og en keylogger.
Skadedyr – først identificeret af Palo Alto Networks i januar, og siden opdateres — har også evnen til at stjæle filer fra et USB-drev. Malware vil overvåge kørsel og stjæle filer, der matcher det valgte filter af de angribere, der for det meste, ser ud til dokumenter.
Se også: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
ESET forskere bemærk, at dette USB-fil-stealer er i stigende grad blevet brugt som et alenestående værktøj, der siden April. Den kopier de relevante filer, og straks uploads dem til angriberne’ kommando og kontrol-server.
I tillæg til Skadedyr, angriberne også ansætte Quasar og Sobaken trojanske heste. Quasar er et open-source form for malware, der er udstyret med en vifte af bagdør kommandoer til at observere og stjæle fra et inficeret system. Som et resultat, den har været brugt af mange forskellige angribere til formål, der spænder fra spionage til it-kriminalitet.
Sobaken er en modificeret version af Quasar, som har haft et antal kapaciteter, der er fjernet. Men fordi dette betyder, at det er pakket ind i en mindre eksekverbare, er det lettere at skjule – Sobaken er også blevet udstyret med anti-sandboxing og skatteunddragelse teknikker for at hjælpe reducerer risikoen for opdagelse.
“En mulig forklaring ved hjælp af tre parallelle malware stammer er, at hver stamme er udviklet uafhængigt af hinanden. En anden mulighed er, at flere forskellige malware stammer blev forsøgt i håb om at en af dem vil glide igennem forsvaret,” Kaspars Osis, senior malware forsker ved ESET fortalte ZDNet.
Ligesom mange malware-kampagner, det første kompromis, der kommer med en phishing-e-mail udstyret med en Microsoft Office vedhæftet fil. De lokker varieret afhængigt af den særlige Ukrainske regering afdelingen er målrettet mod, men eksempler på emner, dem, der vedrører transport og forsvar.
I nogle tilfælde, angrebet udnytter CVE-2017-0199, en fjernkørsel af programkode sårbarhed, som blev lappet i April 2017, der angiver nogle mål, der stadig ikke har anvendt den relevante opdateringer efter mere end et år.
Når den skadelige fil er blevet droppet på target-systemet, det vil køre hver 10 minutter for at sikre sin vedholdenhed på den inficerede maskine.
Malware vil opsige hvis tastaturet layout fra offeret ikke er russisk eller ukrainsk. Det vil også ophæve sig selv, hvis IP-adressen for maskinen er ikke i Ukraine eller Rusland, der angiver, at dette er en meget lokal kampagne.
Når det kommer til angriberne, forskere bemærk, at “Selv om disse trussel aktører ikke synes at have avancerede færdigheder eller adgang til 0-dags sårbarheder, de har været helt vellykket i at bruge social engineering til både at distribuere deres malware og flyve under radaren i længere perioder af tid”.
I øjeblikket, der er ingen klar fordeling af, hvem der kan bag angrebene, men Ukraine har længe været brugt som en test-bed af russiske hackere. Self-afslutning processer i malware, viser også, at dem, der står bag det ønsker ikke, at det slipper ud i verden-i hvert fald ikke endnu.
Mens der er skadeligt, levering af angreb er temmelig grundlæggende og som et resultat, siger forskere cybersecurity bevidsthed uddannelse kan gå en lang vej mod at beskytte mod denne type kampagne.
En fuld run-down af IOCs af angreb har været offentliggjort i ESET rapport.
LÆS MERE OM IT-KRIMINALITET
Snigende malware rettet mod ambassader i snooping kampagne FN-chef søger internationale regler for cyberwarfare [CNET]Talos finder nye VPNFilter malware rammer 500K IoT-enheder, primært i Ukraine Kan russiske hackere være stoppet? Her er, hvorfor det kan tage 20 år [TechRepublic] Malware kampagne udvides for at tilføje cryptocurrency minedrift og iOS phishing-angreb
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0