Nul
Kaspersky Lab sagde i dag, at det opdages computere inficeret med DarkPulsar, en malware, implantat, der har været angiveligt er udviklet af det AMERIKANSKE National Security Agency (NSA).
“Vi har fundet omkring 50 ofre, men mener, at tallet var meget højere,” Kaspersky Lab forskere sagt i dag.
“Alle ofre blev placeret i Rusland, Iran og Egypten, og typisk Windows 2003/2008 Server var inficeret,” siger virksomheden. “Mål var relateret til nuklear energi, telekommunikation, IT -, luft-og rumfart, og R&D.”
Kaspersky forskere var i stand til at analysere DarkPulsar, fordi det var en en af de mange hacking værktøjer, der blev dumpet online i foråret 2017.
Hacking værktøjer blev lækket af en gruppe hackere, der er kendt som Skyggen Mæglere, der hævdede, at de stjal dem fra Ligning Gruppe, et kodenavn givet af cyber-sikkerhed, industri til en gruppe, der er almindeligt menes at være den NSA.
DarkPulsar gik for det meste ubemærket for mere end 18 måneder, da 2017 dump også inkluderet EternalBlue, udnytte, at drevet sidste års tre ransomware udbrud –WannaCry, NotPetya, og Bad Kanin.
Næsten alle infosec fællesskabets øjne har været fokuseret på EternalBlue for det seneste år, og der en god grund til, da sårbarheden er nu blevet råvare malware.
Men i de seneste måneder, Kaspersky forskere er også begyndt at grave dybere i den anden hacking værktøjer lækket af Skyggen Mæglere sidste år.
De kiggede på FuzzBunch, som er en udnyttelse af rammerne, at Ligningen Gruppen har været med til at implementere udnytter og malware på ofrenes systemer ved hjælp af en CLI-grænseflade svarer til Metasploit pen-test rammer.
De kiggede også på DanderSpritz, en FuzzBunch plugin, der virker som et GUI-program til at kontrollere inficerede ofre.
DarkPulsar er en FuzzBunch “implantat,” er et teknisk begreb, der betyder “malware”, der ofte bruges sammen med DanderSpritz.
Men i en rapport frigivet i dag, Kaspersky forskere sagde DarkPulsar kode, der indgår i Skyggen Mæglere lækagen ikke hele DarkPulsar.
“Vi har analyseret dette værktøj, og forstod, at det ikke er en bagdør i sig selv, men den administrative del kun,” Kaspersky sagde.
Et stort gennembrud kom, da de indså, at nogle konstanter fra DarkPulsar administrative interface koden var også mest sandsynligt, anvendes af den faktiske malware.
Billede: Kaspersky Lab
Forskere indført særlige regler for at opdage disse konstanter i filer, der er scannet af Kaspersky antivirus. Dette er, hvordan de fundet omkring 50 computere, der stadig var inficeret med den faktiske DarkPulsar malware.
Baseret på de funktioner, de har fundet i DarkPulsar admin interface, siger forskere malware bruges primært som en bagdør til inficerede computere.
Malware ‘ s vigtigste funktioner er dens evne til at køre vilkårlig kode via en funktion ved navn “RawShellcode” og evnen til at uploade andre DanderSpritz nyttelast (malware), der via “EDFStageUpload” funktion, i høj grad udvider operatørens hold og kapaciteter på et inficeret system.
Kaspersky forskere mener også, at antallet af computere, der er blevet inficeret med DarkPulsar er sandsynligvis større end 50 opdagelser, de fandt.
Den malware, der også omfattede en selvstændig slette-funktion, som Ligning Gruppe aktører sandsynligvis anvendes til at dække deres spor, efter Skyggen Mæglere dumpet deres værktøjer online.
“Så 50 ofrene er meget sikkert bare dem, at angriberne har simpelthen glemt,” siger forskerne.
Som for hvem der står bag disse hacks, Kaspersky ikke sige. Det er uklart, i hvis Skygge Mæglere formået at få deres hænder på det fulde DarkPulsar malware, men så valgt ikke at medtage den egentlige bagdør i den pakke af lækket værktøjer.
Disse 50 infektioner kunne meget nemt være det arbejde af Ligning Gruppe cyber-spionage eller arbejdet i Skyggen Mæglere selv.
En fuld teknisk opdeling af DarkPulsar malware er tilgængelige på denne Kaspersky rapport.
RELATEREDE DÆKNING:
Nul-dag i populære jQuery plugin aktivt udnyttes i mindst tre årNSA leaker Virkeligheden Vinder dømt til 5 års fængsel CNETtjekkiske efterretningstjeneste lukker ned Hizbollah hacking operationOS vælgere optegnelser fra 19 lande, der sælges på hacking forumBotnet bruger WannaCry udnytte til mine cryptocurrency på servere, TechRepublicPentagon oplyser, kort overtrædelseAnholdelse af den Kinesiske efterretningsofficer gnister frygten for en ny Kinesisk hacking indsats
Equifax ingeniør, der konstruerede brud portal får et 8 måneders husarrest for insider-handel
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre
0