Nul
De LuckyMouse advanced persistent threat (APT) is terug met een twist in de tactiek die harnassen LeagSoft certificaten om de verspreiding van Trojans door middel van kwaadaardige NDISProxy stuurprogramma ‘ s.
Het was in juni dat de onderzoekers ontdekten dat LuckyMouse, ook wel bekend als EmissaryPanda en APT27, was gericht op een nationale data center met een Aziatische middelen van de overheid.
In de vorige campagne, LuckyMouse gebruikt kwaadaardige documenten met ingesloten macro ‘ s die misbruik wordt gemaakt van een algemeen bekende Microsoft Word kwetsbaarheid. De Chinees-sprekende bedreiging groep koos voor het centrum in om te stelen van een “breed scala van middelen van de overheid in een klap.”
Echter, in een frisse twist, de APT is terug die gebruik maakt van ogenschijnlijk legitieme security certificaten uitgegeven door VeriSign Chinese security software ontwikkelaar LeagSoft.
Kaspersky onderzoekers zei maandag dat LuckyMouse heeft benut de certificaten die behoren tot de Shenzhen, Guangdong, china-gebaseerd bedrijf sinds Maart 2018. Het blijkt dat ze zijn gestolen.
Door gebruik te maken van deze certificaten, de dreigingen zijn begonnen met een nieuwe campagne die tot doel heeft om het gebruik van de Windows-netwerk te filteren driver NDISProxy, in zowel de 32 – en 64-bits versies, afhankelijk van de doel machine.
NDISProxy, ook bekend als Ndproxy.sys is legitiem stuurprogramma-software die bij elkaar brengt NDISWAN en CoNDIS WAN-stuurprogramma ‘ s met TAPI services.
Door afbreuk te doen dit Windows-onderdeel door het gebruik van een kwaadaardige NDISProxy tool ondertekend met een legitiem certificaat, de driver tool kan worden gebruikt voor het infecteren lsass.exe systeem geheugen.
De Trojan lading, die voorheen was opgenomen, bestaat uit drie modules. De eerste is een aangepaste C++ installateur maakt een Windows autorun-service voor Trojan persistentie. Daarnaast is de module is in staat om de gecodeerde Trojan in het systeem register.
In plaats van het gebruik van Windows uitvoerbare bestand laders, remote access Trojan (RAT) is gedecodeerd door de NDISProxy driver van het systeem register en geïnjecteerd in de lsass.exe proces geheugen door middel van het gebruik van de Shellcode.
Zie ook: Top Mac anti-adware software in de App Store steelt uw browsegeschiedenis
De tweede module filters poort 3389 verkeer te verbergen de Trojan de kwaadaardige netwerk activiteiten binnen. Deze stap zorgt ervoor dat de malware is in staat om te communiceren met de command-and-control (C2) – server zonder detectie.
De laatste module is een aangepaste C++ Trojan die fungeert als een HTTPS-server en het platform voor C2 communicatie.
“Deze modules aanvallers om stil te verplaatsen naar lateraal in de geïnfecteerde infrastructuur, maar niet hen in staat stellen om te communiceren met een externe C2 als de nieuwe besmet host heeft slechts een LAN-IP,” zeggen de onderzoekers. “Vanwege dit, de operators gebruikt een Regenworm SOKKEN tunneler om verbinding te kunnen maken van het NETWERK van de geïnfecteerde gastheer voor de externe C2.”
De Trojanen zal luisteren en installeren van keyloggers om te oogsten administrator-referenties. Als het succesvol is, de Scanline netwerk scanner wordt ook gebruikt voor het verspreiden van malware via bestandsdeling over het netwerk van een bedrijf.
CNET: Ministerie van Justitie, tegen de Noord-koreaanse over WannaCry, Sony hack
De Trojan is in staat om complete vele van de taken van een typisch lid van deze malware familie; met inbegrip van de uitvoering van de opdracht en keylogging, evenals het downloaden en uploaden van bestanden.
LuckyMouse de NDISProxy tool maakt ook gebruik van een verscheidenheid van andere componenten van derden en open-source code, zoals de Blackbone Windows hacking bibliotheek gehost op GitHub.
TechRepublic: Hoe kunt u low-tech gehackt
De onderzoekers zeggen dat er geen phishing campagnes zijn gedetecteerd die gebruik maken van de Trojan dropper. In plaats daarvan is het op dit moment geloofde dat de malware is op dit moment alleen verspreid in netwerken die zijn al aangetast op een bepaalde manier.
De laatste LuckyMouse aanvallen gericht op overheidsinstellingen in het midden van Azië en vond plaats in dezelfde tijd als een “high-level meeting”, hoewel het niet bekend is gemaakt wat precies de politieke situatie was bij de hand.
Terwijl attributie is moeilijk, Kaspersky onderzoekers zijn van mening dat de politiek, in de een of andere wijze, in het hart van de campagne.
“Deze campagne lijkt aan te tonen nogmaals LuckyMouse belang in Centraal-Azië en de politieke agenda rondom de Shanghai Cooperation Organization,” het bedrijf zegt.
De Shanghai Cooperation Organization (SCO) is een pact van landen, waaronder China, Rusland en Europese entiteiten te bespreken mondiale politieke, economische en veiligheidsproblemen.
Kaspersky heeft LeagSoft zich bewust van het probleem via CN-CERT. ZDNet heeft ook geprobeerd contact opnemen met het bedrijf en Verisign en zal updaten als we horen terug.
Vorige en aanverwante dekking
Mirai, Gafgyt IoT botnets stab systemen met Apache Struts, SonicWall exploits Populaire Vpn ‘ s opgenomen code beveiligingsfouten, ondanks patches Gepelde uien en een Min Raak: Verizon data breach verteren tilt de deksel op diefstal tactiek
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0