Nul
Een cyber spionage campagne is gericht op de oekraïense regering met custom-built malware maakt een backdoor in systemen voor het stelen van gegevens-waaronder aanmeldingsgegevens en audio-opnames van de omgeving.
De remote access trojan heet Ongedierte en is geleverd, naast twee andere stammen van malware — Sobaken RAT en Quasar RAT-de laatste is een open source vorm van malware vrij beschikbaar online.
De drie vormen van malware hebben aangevallen honderden verschillende slachtoffers in Oekraïne, maar verschijnen delen van de infrastructuur en een verbinding met dezelfde command en control-servers. De campagne werd beschreven door onderzoekers van beveiligingsbedrijf ESET, die zeggen het is actief sinds oktober 2015.
Detecties van Ongedierte, Quadar en Sobaken
Afbeelding: ESET
Ongedierte is de meest krachtige van de drie vormen van malware en lijkt te hebben ontvangen van updates van de kwaadaardige auteurs.
Naast het uitvoeren van de gebruikelijke taken die verband houden met trojaanse paarden, zoals het monitoren van wat er gebeurt op het scherm, het downloaden van extra ladingen en het uploaden van bestanden, het bevat ook een set van aanvullende opdrachten voor het doel van volledig afbreuk te doen aan het slachtoffer van de machine.
Ze beschikken over de capaciteit om een audio-opname van geluid in de buurt van de computer van het slachtoffer, een password stealer gebruikt voor het uitpakken van de wachtwoorden van de Opera en Chrome-browsers, en een keylogger.
Ongedierte – voor het eerst geïdentificeerd door Palo Alto Networks in januari en sinds bijgewerkt — heeft ook de mogelijkheid om te stelen van bestanden vanaf een USB-drive. De malware zal toezicht houden op de schijf en stelen van bestanden die overeenkomen met het gekozen filter van de aanvallers, die voor het grootste deel, lijkt documenten.
Zie ook: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
ESET onderzoekers er rekening mee dat deze USB-file-stealer in toenemende mate gebruikt als een stand-alone tool sinds April. Het kopieert de benodigde bestanden en direct upload ze naar de aanvallers’ command and control server.
In aanvulling op Ongedierte, de aanvallers ook gebruik van Quasar en Sobaken trojaanse paarden. Quasar is een open-source vorm van malware uitgerust met een scala aan backdoor commando ‘ s voor het observeren en het stelen van een geïnfecteerd systeem. Als gevolg hiervan is het gebruikt door veel verschillende aanvallers voor doeleinden, variërend van spionage voor cybercrime.
Sobaken is een aangepaste versie van de Quasar, die heeft een aantal mogelijkheden verwijderd. Echter, omdat dit betekent dat het verpakt in een kleinere uitvoerbaar, het is makkelijker te verbergen – Sobaken is ook uitgerust met een anti-sandboxing en-ontduiking technieken om te helpen vermindert de kans op ontdekking.
“Een mogelijke verklaring voor het gebruik van drie parallelle malware stammen is dat elke soort onafhankelijk van elkaar ontwikkeld. Een andere optie is dat verschillende malware stammen werden geprobeerd in de hoop dat één van hen zal slip door de verdediging,” Kaspars Osis, senior malware researcher bij ESET vertelde ZDNet.
Net als veel malware campagnes, het eerste punt van het compromis wordt geleverd met een phishing e-mail is uitgerust met een Microsoft Office-bijlage. Het kunstaas gevarieerd afhankelijk van de Oekraïnse overheid-afdeling gericht, maar voorbeelden van onderwerpen die betrekking hebben op het transport en defensie.
In sommige gevallen, de aanval maakt gebruik van CVE-2017-0199, een uitvoering van externe code kwetsbaarheid – die werd gepatcht in April 2017, met vermelding van een aantal doelen nog steeds niet toegepast relevante updates na meer dan een jaar.
Zodra de schadelijke bestand is gevallen op het doel systeem, het zal elke 10 minuten om te zorgen voor haar doorzettingsvermogen op de geïnfecteerde computer.
De malware wordt beëindigd als de toetsenbord lay-out van het slachtoffer is niet russisch of oekraïens. Het zal ook zelf beëindigen als u het IP-adres van de machine is niet in Oekraïne of Rusland, wat aangeeft dat dit een zeer specifieke lokale campagne.
Als het gaat om de aanvallers, de onderzoekers concludeerden dat “hoewel deze dreigingen niet lijken te bezitten geavanceerd vaardigheden of de toegang tot de 0-day kwetsbaarheden, ze zijn zeer succesvol in het gebruik van social engineering om zowel het verspreiden van hun malware en het vliegen onder de radar voor langere tijd”.
Er is momenteel geen duidelijke verdeling: wie kan er achter de aanslagen, maar Oekraïne is lange tijd gebruikt als een test-bed door russische hackers. Het zelf beëindigen van processen in de malware ook op wijzen dat de mensen achter het helemaal niet wilt ontsnappen in de rest van de wereld — tenminste, nog niet.
Te beschadigen, de levering van de aanvallen is nogal elementaire en als gevolg daarvan, onderzoekers zeggen dat cybersecurity awareness training kan gaan een lange weg in de richting van de bescherming tegen dit soort campagnes.
Een volledige run-down van de IOCs van de aanval zijn gepubliceerd in de ESET-rapport.
LEES MEER OVER CYBER CRIME
Kwaadaardige malware richt zich op de ambassades in spionage campagne VN-chef zoekt internationale regels voor cyberwarfare [CNET]Talos het vinden van nieuwe VPNFilter malware raken 500K IoT apparaten, vooral in de Oekraïne russische hackers worden gestopt? Hier is de reden waarom het misschien wel 20 jaar [TechRepublic] Malware campagne breidt toevoegen cryptocurrency mijnbouw-en iOS-phishing-aanvallen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0