Nul
Den LuckyMouse advanced persistent threat (APT) er tilbage med et twist i taktik, der udnytter LeagSoft certifikater til Trojanske heste spredes ved hjælp af ondsindede NDISProxy drivere.
Det var tilbage i juni, har forskere opdaget, at LuckyMouse, også kendt som EmissaryPanda og APT27, havde rettet et nationalt datacenter indeholder Asian offentlige midler.
I denne tidligere kampagne, LuckyMouse anvendt skadelig indlejrede dokumenter med makroer, der udnyttede en velkendt Microsoft Word sårbarhed. Den Kinesisk-talende trussel gruppe valgte center for at stjæle en “bred vifte af offentlige ressourcer på ét slag.”
Dog, i et frisk twist, APT er tilbage som bruger tilsyneladende legitime sikkerheds-certifikater, der er udstedt af VeriSign til Kinesisk sikkerhed software udvikler LeagSoft.
Kaspersky forskere sagde mandag, at LuckyMouse har udnyttet de certifikater, der hører til Shenzhen, Guangdong-baseret virksomhed siden Marts 2018. Det ser ud til at de er blevet stjålet.
Ved at udnytte disse certifikater, truslen aktører har lanceret en ny kampagne, som har til formål at udnytter Windows-netværk filtrering driver NDISProxy, i både 32 – og 64-bit versioner, afhængigt af mål-maskine.
NDISProxy, også kendt som Ndproxy.sys er legitime driver-software, som samler NDISWAN og CoNDIS WAN-drivere med TAPI-tjenester.
Ved at kompromittere det Windows-komponent ved brug af en ondsindet NDISProxy værktøj indgået med en legitim certifikat, driver værktøj kan bruges til at inficere lsass.exe systemet hukommelsen.
Den Trojanske nyttelast, som tidligere var skjulte, består af tre moduler. Den første er en brugerdefineret C++ – installatør, der skaber en Windows autorun service til Trojan-persistens. Hertil kommer, at modulet er i stand til at droppe den krypterede Trojanske i systemets registreringsdatabase.
I stedet for at bruge Windows eksekverbare fil læssemaskiner, remote access, Trojan (ROTTE) er dekrypteret af NDISProxy driveren fra systemet registreringsdatabasen og sprøjtes ind i lsass.exe processen hukommelse gennem brug af Shellcode.
Se også: Top Mac anti-adware software i App Store stjæler din browserhistorik
Det andet modul, filtre port 3389 trafik til at skjule den Trojan er ondsindet netværksaktivitet inden for. Dette trin sikrer at det malware er i stand til at kommunikere med sin kommando-og-kontrol (C2) server uden registrering.
Det afsluttende modul er en brugerdefineret C++ – Trojan, der fungerer som en HTTPS-server og platform for C2 kommunikation.
“Disse moduler giver angriberne mulighed for at stille bevæge sig sideværts i den inficerede infrastruktur, men ikke giver dem mulighed for at kommunikere med en ekstern C2, hvis den nye inficeret host kun har en LAN IP,” siger forskerne. “På grund af dette, de erhvervsdrivende, der anvendes en Regnorm SOKKER tunneler for at forbinde LAN af den inficerede vært for den eksterne C2.”
Trojanske heste vil lytte og installere keyloggers med henblik på at høste administratorrettigheder. Hvis det lykkes, Scanline network scanner er også brugt til at sprede malware via fildeling på tværs af en virksomheds netværk.
CNET: justitsministeriet afgifter nordkoreanske over WannaCry, Sony-hack
Den Trojan er i stand til at udføre mange af de opgaver, som en typisk medlem af denne malware familie, herunder udførelse af kommandoer og keylogging, samt download og upload af filer.
LuckyMouse er NDISProxy værktøj gør også brug af en række andre tredje-parts komponenter og open-source kode, som Blackbone Windows hacking bibliotek, der er hostet på GitHub.
TechRepublic: Hvordan du kan få low-tech hacket
Forskerne siger, at der ikke phishing-kampagner, der har været opdaget, som bruger Trojan dropper. I stedet, det er i øjeblikket menes, at malware er i øjeblikket kun spreder sig i netværk, der allerede er bragt i fare på nogen måde.
Den seneste LuckyMouse angreb har fokuseret på offentlige enheder i midten af Asien og fandt sted på samme tid som en “høj-niveau møde,” selv om det ikke blevet oplyst, præcis hvad den politiske situation, der var ved hånden.
Mens attribution er svært, Kaspersky forskere mener, at politik, på en eller anden måde, er i centrum for kampagnen.
“Denne kampagne ser ud til endnu en gang vise, LuckyMouse interesse i centralasien og den politiske dagsorden omkring Shanghai Cooperation Organization,” firmaet siger.
Shanghai Cooperation Organisation (SCO) er en pagt, der består af lande, herunder Kina, Rusland og andre Europæiske selskaber, for at drøfte globale politiske, økonomiske og sikkerhedsmæssige spørgsmål.
Kaspersky har gjort LeagSoft opmærksom på problemet via KN-CERT. ZDNet har også forsøgt at kontakte virksomheden, og Verisign og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Mirai, Gafgyt IoT botnets stikke systemer med Apache Stivere, SonicWall udnytter Populære Vpn ‘ er, som er indeholdt kode sikkerhedshuller, på trods af patches Skrællet løg og et Minus Tryk: Verizon data breach fordøje løfter låget på tyveri taktik
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0