Noll
Den LuckyMouse avancerade ihållande hot (APT) är tillbaka med en twist i taktik som utnyttjar LeagSoft certifikat för att sprida Trojaner genom skadliga NDISProxy förare.
Det var i juni som forskarna upptäckte att LuckyMouse, även känd som EmissaryPanda och APT27, hade riktat ett nationellt datacenter som innehåller Asiatiska offentliga resurser.
I denna tidigare kampanj, LuckyMouse används skadlig inbäddade dokument med makron som utnyttjade en känd Microsoft Word sårbarhet. Den Kinesisk-språkiga hot grupp valde mitt i för att stjäla ett “brett utbud av statliga resurser i ett svep.”
Dock, i en fräsch twist, APT är tillbaka som använder till synes legitima säkerhet certifikat utfärdat av VeriSign för att Kinesiska security software developer LeagSoft.
Kaspersky forskare sade på måndagen att LuckyMouse har utnyttjas certifikat som hör till Shenzhen, Guangdong-baserat företag sedan Mars 2018. Det verkar som de har varit stulna.
Genom att använda dessa certifikat, hot aktörer har lanserat en ny kampanj som syftar till att utnyttjar Windows-nätverk filtrering driver NDISProxy, i både 32 – och 64-bitars versioner, beroende på måldatorn.
NDISProxy, även känd som Ndproxy.sys är legitima drivrutin-programvara som samlar NDISWAN och CoNDIS WAN förare med TAPI tjänster.
Genom att kompromissa med den här Windows-komponenten med hjälp av en skadliga NDISProxy verktyg som undertecknats av med en legitim certifikat, föraren verktyget kan användas för att infektera lsass.exe systemet processen minne.
Den Trojanska nyttolast, som tidigare oinspelade, består av tre moduler. Den första är en anpassad C++ – installer, vilket skapar en Windows autorun-service för Trojan persistens. Dessutom modulen är att kunna släppa den krypterade Trojan in i registret.
Istället för att använda Windows körbara filen lastare, remote access-Trojaner (RÅTTA) dekrypteras av NDISProxy drivrutin från systemregistret och injiceras i lsass.exe processen minne genom användning av Shellcode.
Se också: Top Mac anti-adware program i App Store stjäl din webbhistorik
Den andra modulen filter port 3389 trafik för att dölja den Trojanska är skadliga aktiviteter nätverk inom. Detta steg ser till skadlig kod är att kunna kommunicera med sina kommando-och-kontroll (C2) server utan upptäckt.
Den sista modulen är anpassad C++ Trojan som fungerar som en HTTPS-server och plattform för kommunikation C2.
“Dessa moduler som möjliggör för angripare att tyst flytta i sidled i den infekterade infrastruktur, men som inte tillåter dem att kommunicera med en extern C2 om den nya infekterad värd bara har en LAN-IP,” forskarna säger. “På grund av detta, operatörer används en Daggmask STRUMPOR tunneler för att ansluta LAN av den infekterade värden till externa C2.”
Trojaner kommer att lyssna på och installera keyloggers för att skörda administratörsbehörighet. Om det lyckas, Scanline-network scanner är också används för att sprida skadlig kod via fildelning över ett företagsnätverk.
CNET: justitiedepartementet avgifter nordkoreanska över WannaCry, Sony hacka
Trojanen kan fylla många av de uppgifter av en typisk medlem av denna familj av skadlig kod, inklusive kommandon och keylogging, samt att ladda ner och ladda upp filer.
LuckyMouse är NDISProxy verktyg använder också en rad andra komponenter från tredje part och öppen källkod, såsom Blackbone Windows hacka bibliotek värd på GitHub.
TechRepublic: Hur du kan få low-tech hackad
Forskarna säger att ingen phishing-kampanjer har upptäckts som använder Trojan dropper. Istället, är det för närvarande trodde att malware är för närvarande endast sprids i nätverk som redan äventyras på något sätt.
Den senaste LuckyMouse attacker har fokuserat på att myndigheter i mitten av Asien och tog plats vid samma tid som ett “möte på hög nivå, även om det inte har lämnats ut exakt vad den politiska situationen var vid handen.
Medan attribution är svårt, Kaspersky forskare tror att politiken, på något sätt, ligger i hjärtat av kampanjen.
“Den här kampanjen verkar för att än en gång visa LuckyMouse intresse i centralasien och den politiska agendan kring Shanghai Cooperation Organisation,” företaget säger.
Shanghai Cooperation Organisation (SCO) är ett förbund som består av länder, inklusive Kina, Ryssland och Eu-enheter för att diskutera den globala politiska, ekonomiska och säkerhetsrelaterade frågor.
Kaspersky har gjort LeagSoft medvetna om problemet via KN-CERT. ZDNet har också försökt att kontakta företaget och Verisign och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
Mirai, Gafgyt IoT botnät hugg system med Apache Struts, SonicWall utnyttjar Populära Vpn som finns kod säkerheten brister, trots plåster Skalad lök och ett Minus Touch: Verizon data breach smälta lyfter locket på stöld taktik
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0