Zero
Un cyber-spionaggio campagna di mira il governo ucraino con custom-built malware che crea una backdoor nei sistemi per il furto di dati, comprese le credenziali di accesso e le registrazioni audio dei dintorni.
Il remote access trojan si chiama Parassiti e viene consegnato al fianco di due ceppi di malware — Sobaken RATTO e Quasar RATTO — l’ultimo dei quali è un open source forma di malware è liberamente disponibile online.
Le tre forme di malware hanno attaccato diverse centinaia di vittime in Ucraina, ma sembrano condivisione di infrastrutture e di connettersi allo stesso server di comando e controllo. La campagna è stata dettagliata da ricercatori della società di sicurezza ESET, che dire è stato attivo almeno dal mese di ottobre 2015.
Rilevamenti di Parassiti, Quadar e Sobaken
Immagine: ESET
Parassiti è il più potente di tutte e tre le forme di malware e sembra aver ricevuto gli aggiornamenti dal suo maligno autori.
Oltre a svolgere la consueta attività associate con trojan, come il monitoraggio di ciò che accade sullo schermo, il download di ulteriori carichi e il caricamento dei file, contiene anche una serie di comandi aggiuntivi per lo scopo di compromettere completamente la macchina della vittima.
Essi includono la capacità di fare la registrazione audio del suono vicino al computer della vittima, una password stealer utilizzato per estrarre le password dal teatro dell’Opera e Chrome, e keylogger.
Parassiti – identificato per la prima volta da Palo Alto Networks nel mese di gennaio e il dato aggiornato — ha anche la capacità di rubare i file da un’unità USB. Il malware sarà monitorare l’auto e rubare i file che corrispondono al filtro scelto di attaccanti, che per la maggior parte, sembra documenti.
Vedi anche: Qual è il malware? Tutto quello che devi sapere su virus, trojan e malware
ESET ricercatori di notare che questo file USB-stealer è stato sempre più utilizzato come strumento autonomo dal mese di aprile. Copia il file in questione e subito li carica sul attaccanti ” server di comando e controllo.
Oltre ai Parassiti, gli aggressori utilizzano anche Quasar e Sobaken trojan. Quasar è un open-source forma di malware è dotata di una serie di backdoor comandi per l’osservazione e per rubare da un sistema infetto. Come conseguenza di ciò, è stato utilizzato da molti diversi aggressori per scopi che vanno dallo spionaggio al crimine informatico.
Sobaken è una versione modificata di Quasar che ha avuto un numero di funzionalità rimosse. Tuttavia, perché questo significa che è imballato in un piccolo eseguibile, è più facile nascondere – Sobaken è stato anche dotato di anti-sandboxing e tecniche di evasione per aiutare riduce le possibilità di scoperta.
“Una possibile spiegazione per l’utilizzo di tre parallelo malware ceppi è che ogni ceppo è sviluppato in modo indipendente. Un’altra opzione è che diversi ceppi di malware sono stati provati nella speranza che uno di loro si scivolare attraverso le difese,” Kaspars Osis, senior malware ricercatore presso ESET detto a ZDNet.
Come molte campagne di malware, il punto iniziale di compromesso arriva con una e-mail di phishing dotato di un Microsoft Office allegato. Le esche varia a seconda del particolare Ucraino dipartimento del governo di essere presi di mira, ma esempi di soggetti inclusi quelli che riguardano il trasporto e la difesa.
In alcuni casi, l’attacco sfrutta la vulnerabilità CVE-2017-0199, una vulnerabilità esecuzione di codice remoto – che è stato patchato in aprile 2017, indicando alcuni obiettivi ancora non applicata ai relativi aggiornamenti, dopo più di un anno.
Una volta che il file dannoso è caduto sul sistema di destinazione, verrà eseguito ogni 10 minuti per garantire la sua persistenza sulla macchina infetta.
Il malware può risolvere il contratto se il layout della tastiera della vittima non è russo o ucraino. Si terminerà anche se l’indirizzo IP della macchina non è in Ucraina o in Russia, che indica che questo è un estremamente localizzata campagna.
Quando si tratta di attaccanti, i ricercatori fanno notare che “Anche se queste minacce attori non sembrano possedere competenze avanzate o l’accesso a 0 vulnerabilità del giorno, hanno avuto un discreto successo nell’utilizzo di tecniche di ingegneria sociale per entrambi distribuire i loro malware e volare sotto il radar per lunghi periodi di tempo”.
Attualmente, non vi è alcuna chiara attribuzione di chi potrebbe dietro gli attacchi, ma l’Ucraina è stato a lungo utilizzato come un banco di prova da hacker russi. L’auto-terminazione dei processi di malware, inoltre, indicano che quelli dietro non voglio fuggire nel resto del mondo, almeno non ancora.
Mentre il danneggiamento, la consegna degli attacchi è piuttosto semplice e, come risultato, dicono i ricercatori di sicurezza informatica consapevolezza che la formazione può andare un lungo cammino verso la protezione contro questo tipo di campagna.
Una full run-down di Ioc dell’attacco sono stati pubblicati nella ESET report.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Furtivo malware obiettivi ambasciate in snooping campagna il capo dell’ONU cerca di norme internazionali per la guerra cibernetica [CNET]Talos trova nuovi VPNFilter malware che colpiscono 500K IoT dispositivi, soprattutto in Ucraina Può hacker russi e di essere arrestato? Ecco perché si potrebbe prendere 20 anni [TechRepublic] campagna di Malware si espande per aggiungere cryptocurrency di data mining e iOS attacchi di phishing
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0