Zero
ESET ricercatori di monitoraggio di un noto backdoor e cyberespionage campagna hanno avvertito che la lista di titoli di stato delle vittime è molto più lungo di quanto precedentemente pensato, e di almeno due nuovi uffici Europei hanno ceduto.
La backdoor è il lavoro di un advanced persistent threat (APT) gruppo noto come Turla. Turla è stato in precedenza collegato al Gazer famiglia di malware, che è stato usato contro varie forme di governo e diplomatici corpi in Europa prima.
Gazer è stato collegato al foro di irrigazione e attacchi di spear-phishing campagne di enti governativi e diplomatici con lo scopo di cyberespionage.
Nel 2017, Turla, era collegato a una backdoor impiantato nella Germania del ministero degli Esteri, dove è stato utilizzato per sifone riservate le informazioni del governo per la maggior parte dell’anno.
Turla si crede di provenire dalla Russia ed è stato attivo almeno dal 2008. Ora, sembra che l’APT sta rafforzando il suo impegno e ha sfruttato lo stesso backdoor contro gli uffici esteri di altri due paesi Europei.
Inoltre, un anonimo maggiore della difesa, è diventata anche una vittima della minaccia attori.
Backdoor utilizzate in queste campagne è stato creato nel 2009 e da allora ha subito una serie di cambiamenti radicali. Furtivo, in grado di evitare il rilevamento per lunghi periodi di tempo, e recentemente aggiornato dannoso per eseguire gli script di PowerShell direttamente nella memoria di un computer, il malware ha ora guadagnato una “rara grado di stealth e resilienza”, secondo ESET.
Turla malware, che è una Dynamic Link Library (DLL) modulo, mantiene la persistenza manomissione del registro di sistema di Windows. In una tecnica nota come “oggetto COM dirottamento,” backdoor automaticamente respawn quando Microsoft Outlook è aperto.
Il malware ha più di recente mirati agli utenti di Microsoft Outlook. Tuttavia, il software in sé non è utilizzata come vettore di attacco; piuttosto, il malware tenta di sovvertire Microsoft Outlook, è legittimo Messaging Application Programming Interface (MAPI) per infiltrarsi vittima caselle di posta.
Vedi anche: le Armi sono già in UK strade. La stampa 3D potrebbe rendere le cose molto peggio.
Un elemento interessante di questo backdoor è come Turla sceglie di controllo. La maggior parte dei malware si avvale di comando e controllo (C&C) centri per l’emissione di comandi, ma in questo caso, artigianale .PDF file inviati al compromesso caselle di posta che invia i comandi operativi.
Quando una vittima riceve una e-mail, il malware genera un log che contiene le informazioni sul messaggio, tra cui il mittente, il destinatario, l’oggetto e i nomi degli allegati. Questi dati vengono poi regolarmente impacchettato e spedito al Turla APT via .Documento PDF.
Tuttavia, la minaccia gruppo è attento solo per l’invio di queste e-mail, durante il normale orario di lavoro per evitare di destare sospetti. Tutte le notifiche sono bloccato anche dal punto di vista.
TechRepublic: Top 5: i Rischi di crittografia backdoor
“La macchina compromessa può essere incaricato di svolgere una serie di comandi,” ESET hanno detto i ricercatori. “Ancora più importante, questi includono dati di esfiltrazione, così come il download di altri file e l’esecuzione di altri programmi e comandi. Dati di esfiltrazione stesso avviene anche attraverso .I file PDF.”
La backdoor è ciò che i ricercatori chiamano “gestore indipendente”, il che significa che il codice dannoso accetta comandi da chiunque sia in grado di codificare in un predisposto .PDF.
Questo può essere una tecnica utilizzata per evitare il collasso del malware operazioni, nei casi in cui dannoso C&C centri sono stati sequestrati dalla sicurezza informatica squadre o di applicazione della legge.
CNET: Congresso introduce il disegno di legge per bloccare governo di crittografia backdoor
Turla è l’unico gruppo noto per i ricercatori che utilizzano e-mail di sistemi di comando e il caso rivela quanto innovativo APT gruppi può essere prezioso quando l’informazione politica è up-per-palio.
ZDNet ha raggiunto ESET con altre query e aggiornare se sentiamo di ritorno.
Precedente e relativa copertura
I messicani servita Scuro con Tequila, spyware spree Hacker contiene i dati di 20.000 Superdrug clienti di riscatto Adobe rilasci di pianificare l’esecuzione di codice remoto fix
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0