Nul
Kaspersky Lab zei vandaag dat het gedetecteerde computers die besmet zijn met DarkPulsar, een malware-implantaat dat heeft naar verluidt is ontwikkeld door de AMERIKAANSE National Security Agency (NSA).
“We ongeveer 50 slachtoffers, maar geloof dat het cijfer nog veel hoger,” Kaspersky Lab onderzoekers zei vandaag.
“Alle slachtoffers werden gevonden in Rusland, Iran en Egypte, en meestal Windows 2003/2008 Server was besmet,” aldus het bedrijf. “Er zijn doelstellingen met betrekking tot nucleaire energie, telecommunicatie, IT, aerospace, en R&D.”
Kaspersky onderzoekers waren in staat om te analyseren DarkPulsar want het was een een van de vele hacking-tools die werden gedumpt online in het voorjaar van 2017.
De hacking-tools werden gelekt door een groep hackers die bekend staat als de Schaduw Makelaars, die beweerde dat ze ze gestolen uit de Vergelijking van de Groep, een codenaam gegeven door de cyber-security-industrie tot een groep die is universeel aangenomen dat de NSA.
DarkPulsar ging meestal ongemerkt al meer dan 18 maanden als de 2017 dump ook opgenomen EternalBlue, de exploit die aangedreven vorig jaar drie ransomware uitbraken –WannaCry, NotPetya, en Slechte Konijn.
Bijna alle infosec gemeenschap ogen zijn gericht op EternalBlue voor het afgelopen jaar, en voor een goede reden, als de exploit is inmiddels commodity malware.
Maar in de afgelopen maanden, Kaspersky onderzoekers zijn ook begonnen om dieper te graven in de andere hacking-tools gelekt door de Schaduw Makelaars vorig jaar.
Ze keek FuzzBunch, wat is een exploit kader dat de Vergelijking van de Groep is te implementeren met behulp van exploits en malware van de slachtoffers systemen met behulp van een CLI interface die vergelijkbaar is met de Metasploit-pen-test framework.
Ze keek ook naar DanderSpritz, een FuzzBunch plugin die werkt als een GUI applicatie voor het besturen van besmette slachtoffers.
DarkPulsar is een FuzzBunch “implantaat” een technische term die betekent “malware” die vaak gebruikt wordt samen met DanderSpritz.
Maar in een rapport dat vandaag werd vrijgegeven, Kaspersky onderzoekers zeiden dat de DarkPulsar code opgenomen in de Schaduw Makelaars lek is niet het geheel van DarkPulsar.
“We hebben een analyse gemaakt van deze tool en begrepen dat het niet om een backdoor zelf, maar ook het administratieve deel,” Kaspersky zei.
Een grote doorbraak kwam toen ze beseften dat sommige constanten van de DarkPulsar administratieve interface, code, waren ook het meest waarschijnlijk gebruikt door de werkelijke malware.
Afbeelding: Kaspersky Lab
Onderzoekers gemaakt van speciale regels voor het detecteren van deze constanten in de bestanden gescand met Kaspersky antivirus. Dit is hoe ze ontdekt de ongeveer 50 computers die zijn geïnfecteerd met het werkelijke DarkPulsar malware.
Op basis van de functies die ze gevonden in de DarkPulsar admin interface, onderzoekers zeggen dat de malware wordt voornamelijk gebruikt als een achterdeur naar de geïnfecteerde computers.
De malware de belangrijkste functies zijn de mogelijkheid om willekeurige code kan uitvoeren via een functie met de naam “RawShellcode” en de mogelijkheid voor het uploaden van andere DanderSpritz payloads (malware) via de “EDFStageUpload” – functie, een sterke uitbreiding van de exploitant houdt en mogelijkheden op een geïnfecteerd systeem.
Kaspersky onderzoekers geloven dan ook dat het aantal computers die zijn geïnfecteerd met DarkPulsar is waarschijnlijk veel groter is dan 50 waarnemingen die ze hebben gevonden.
De malware ook een self-delete-functie, die Vergelijking Groep operators waarschijnlijk gebruikt voor de dekking van hun sporen na in de Schaduw Makelaars gedumpt hun tools online.
“Dus de 50 slachtoffers zijn zeer waarschijnlijk slechts degenen die de aanvallers hebben gewoon vergeten,” de onderzoekers gezegd.
Voor wie zit er achter deze hacks, Kaspersky niet te zeggen. Het is onduidelijk of de Schaduw Makelaars in geslaagd om hun handen te krijgen op de volledige DarkPulsar malware, maar vervolgens koos niet de werkelijke backdoor in het pakket van de gelekte tools.
Deze 50 infecties kunnen zeer eenvoudig worden het werk van de Vergelijking van de Groep cyber-spionage-operaties of het werk van de Schaduw Makelaars zelf.
Een volledige technische storing van de DarkPulsar malware is vanaf in deze Kaspersky rapport.
VERWANTE DEKKING:
Zero-day in de populaire jQuery plugin actief misbruikt voor ten minste drie jaarNSA leaker Werkelijkheid Winnaar veroordeeld tot over 5 jaar in de gevangenis CNETtsjechische intelligence-service wordt afgesloten Hezbollah hacken werking vanONS kiezer records uit 19 lidstaten verkocht op hacking forumBotnet maakt gebruik van WannaCry benutten om mijn cryptocurrency op servers TechRepublicPentagon onthult kaart schendingArrestatie van de Chinese top van de inlichtingendienst vonken angsten van nieuwe Chinese hacken inspanningen
Equifax ingenieur die ontworpen schending portal krijgt 8 maanden huisarrest voor handel met voorkennis
Verwante Onderwerpen:
De overheid ONS
Beveiliging TV
Data Management
CXO
Datacenters
0