Zero
Video: minaccia di Cyber intelligence vs rischio di business intelligence: Entrambi sono la chiave per la vostra azienda di sicurezza
Un nuovo hacking campagna mira a utilizzare il vecchio vulnerabilità nel software Microsoft Office per creare una backdoor in sistemi Windows, per spiare e rubare i file.
Soprannominato Felixroot, il malware viene consegnato alle persone in Ucraina utilizzando un weaponised email di phishing che sostiene contenere seminario di informazione sulla protezione ambientale, indicando che le vittime prescelte sono suscettibili di essere altamente mirati. Il messaggio è scritto in russo e afferma di provenire dal Kazakistan.
Il Felixroot campagna è stato portato alla luce dai ricercatori di FireEye, che sono collegati a una precedente campagna utilizzando lo stesso malware mirati Ucraini nel settembre dello scorso anno.
Questa campagna sfrutta due vulnerabilità di Microsoft Office: CVE-2017-0199 e CVE-2017-11882.
CVE-2017-0199 consente agli aggressori di scaricare ed eseguire uno script di Visual Basic che contiene i comandi di PowerShell quando un utente apre un documento contenente un integrato di sfruttare la vulnerabilità CVE-2017-1882 consente a un utente malintenzionato di eseguire codice arbitrario e, potenzialmente, di prendere il controllo dell’intero sistema.
Entrambi exploit è venuto alla luce lo scorso anno e sono stati utilizzati da malintenzionati attori in varie campagne. In questo nuovo attacco, i due exploit vengono utilizzati per eseguire Felixroot malware per creare una backdoor in sistemi infetti — e viene fornito con tutti i processi necessari per monitorare segretamente e exfiltate file.
“Felixroot sta cercando di rubare i file caricati dal computer di destinazione con l’informazione del sistema. L’architettura delle backdoor l’include funzionalità per la Shell Remota, il download e l’esecuzione di file dalla C2 server,” Swapnil Patil, ricercatore presso FireEye, ha detto a ZDNet.
In questo caso, il carico viene consegnato con un richiamo documento di Seminario.rtf’, che sfrutta la vulnerabilità CVE-2017-0199 per scaricare la seconda fase di carico utile sul computer della vittima. Questa seconda fase di carico è dotato di CVE-2017-11882, permettendo agli hacker di ottenere un controllo significativo sul sistema.
Vedi anche: che Cosa è il malware? Tutto quello che devi sapere su virus, trojan e malware
Questo componente backdoor viene fornito con crittografia personalizzata e viene direttamente caricato in memoria senza toccare il disco, aumentando le sue possibilità di rimanere nascosto come svolge la sua attività.
Una volta installato correttamente nella memoria, il payload dormire per 10 minuti prima di cercare il comando per essere lanciato e il collegamento con il server C&C, che il furto di dati è segretamente inviato.
Come parte del processo, il malware, inoltre, recupera informazioni sul sistema infetto, tra cui nome, nome utente, numero di serie del volume, la versione di Windows, e l’architettura del processore.
In definitiva, Felixroot è stato progettato per essere una backdoor all’intero sistema e diversi comandi riflettere la sua intenzione di sottrarre dati. In uno sforzo per evitare di rendere la sua presenza, il malware posti letto, per un minuto, a seguito di ciascuna operazione e prima di eseguire il passo successivo.
Una volta Felixroot è fatto con il suo snooping, i processi maligni sono terminate e tutti orme del computer di destinazione vengono rimossi. E ‘ una modalità operativa di sicurezza progettato per garantire che, anche se l’attacco è scoperto, non può essere fatta risalire al gruppo dietro di esso.
La campagna è ancora sotto inchiesta, FireEye non ha rivelato gli obiettivi specifici dell’attacco o che l’autore potrebbe essere. Tuttavia, si ritiene che il Felixroot è ancora attivo e potrebbe ampliare la portata dei suoi attacchi.
Vedi anche: Può hacker russi e di essere arrestato? Ecco perché si potrebbe prendere 20 anni[TechRepublic]
“Tutti i settori dovrebbero essere in stato di allerta, come è molto probabile che la minaccia di attori che, eventualmente, spostare fuori della portata della loro attuale destinazione. Inoltre, in un prossimo futuro ci si può aspettare alcune caratteristiche incluse nella malware minaccia attori”, ha detto Patil.
Felixroot sfrutta le vulnerabilità che le patch sono disponibili da molto tempo, quindi, uno dei modi migliori per evitare di cadere victm di questa campagna è quello di garantire che i sistemi sono aggiornati e protetti contro le gesta.
Tuttavia, questa e altre campagne attualmente rimane successo a causa di un sacco di organizzazioni che non sono riusciti ad applicare questi aggiornamenti.
“Nonostante il rilascio di patch, queste vulnerabilità sono mirati in natura attraverso la minaccia attori a causa dell’alta percentuale di successo,” ha detto Patil.
RELATIVI COPERTURA
Hacking campagna unisce attacchi di target del governo, la finanza, l’energia e
Un attacco del gruppo operativo di fuori dell’Iran è la copia di tecniche utilizzate con successo attacchi di alto profilo,–, ma dimentica di coprire le proprie tracce, lasciando le loro tattiche esposti.
Hacking campagna ha come target gli utenti di iPhone con il furto di dati, la posizione rilevamento malware
La campagna offre falso versioni di WhatsApp e Telegramma di vittime – e quelli dietro di esso hanno cercato di farlo sembrare come un attacco russo quando non è così.
Allarme Phishing: Hacking gang si rivolge a nuove tattiche in campagna di malware
Società di sicurezza avverte ‘SilverTerrier’ gruppo rappresenta una minaccia per le imprese.
Che fissano la griglia di alimentazione dalla pirateria, sabotaggio e di altre minacce
Frank Gaffney, fondatore e presidente del Centro per la Politica di Sicurezza, parla di fissaggio della griglia di potere da EMP, hacking, di sabotaggio e di brillamenti solari. Pensa che i trasformatori sono l’elemento chiave.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Misterioso il cyber spionaggio campagna utilizza il ‘siluro’ esca per indurre l’utente a scaricare malwareMicrosoft gli utenti di Office attenzione: Nuovo malware che arriva attraverso PowerPoint di allegato e-mail [TechRepublic]Questo a buon mercato e brutto di malware vuole rubare i vostri dataMicrosoft sono voluti sei mesi per risolvere un Ufficio sfruttare [CNET]gli Hacker utilizzano recente vulnerabilità di Microsoft Office per distribuire malware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0