Nul
Mens forskere, der kigger fremad, hackere vil tilbage til deres rødder for at skabe nye angreb fra asken af gamle-med et par moderne, mindre tweaks.
Cybersikkerhed arena er i konstant forandring, med en igangværende kamp, der finder sted mellem sikkerhed leverandører og forskere, trussel aktører, og statsstøttet grupper.
Sikkerhedsbulletiner, og sårbarhed oplysninger er værdifulde for leverandører, IT-medarbejdere, og cybersecurity teams ens.
Advaret, er skimmelsvamp, og at holde op-to-date med de nyeste trusler og angreb finder sted-sådan som det er tilfældet i den igangværende Magecart kampagne-kan give organisationer mulighed for at gennemgå deres sikkerhed, infrastruktur og afhjælpe problemer, forældet software, eller fejl, som det er nødvendigt.
Bulletiner også give cybersecurity-professionelle over hele verden mulighed for at forbinde prikkerne, når det kommer til moderne trussel grupper eller genopblussen af gamle trusler.
Men det er ikke kun hvide hatte, der kan finde sådan bulletiner og sikkerhedsbulletiner af interesse.
I henhold til forebyggelse af trusler firma Cylance, “som forsvarere race til at identificere det næste og nyeste metoder til at angribe, angribere ofte halter bagud og genbrug af de gamle og oplagte dem med succes.”
Se også: Bizar botnet inficerer din PC til at skrubbe væk cryptocurrency minedrift malware
Angreb er afdækket, er den tekniske detaljer om, hvordan, hvornår, og hvad der er udsat for. Men som forskere gå videre til den næste kampagne, nogle trussel aktører vil omlægge gamle angreb og genoptage dem.
En sådan trussel skuespiller, bag Promethium/StrongPity malware, og menes at være retshåndhævelse-baseret eller statsligt finansieret, og anvender denne taktik.
Tilbage i Marts, Citizen Lab offentliggjort en rapport, der beskriver brugen af Sandvine/Procera Deep Packet Inspection (DPI) hardware bliver misbrugt til at udføre Man-in-The-Middle (MiTM) angreb på Internet trafik med henblik på at implementere StrongPity malware nyttelast via browser omdirigering.
Ofre i Tyrkiet — og indirekte, Syrien — var målrettet via deres ISP. Når brugerne har forsøgt at downloade legitime programmer, såsom Avast Antivirus, 7-Zip, eller CCleaner, at de ville stille blive omdirigeret til ondsindede versioner, som indeholdt spyware bundter.
“Før du skifter til StrongPity spyware, operatørerne af Tyrkiet injektion brugt FinFisher “lovlig aflytte” spyware, som FinFisher hævder, sælges kun til offentlige myndigheder,” siger rapporten.
TechRepublic: Hvorfor har vi brug for mere cybersecurity arbejdstagere lige nu
Rapporten bygger på tidligere forskning fra Kaspersky Lab, Microsoft, og ESET. Næsten umiddelbart efter offentliggørelsen af nyhedsbreve, men truslen skuespiller ændret taktik.
StrongPity begyndte at bruge en ny infrastruktur, som stolede på domæner, der er registreret flere uger efter, at Borger Lab ‘ s forskning blev offentliggjort. Hertil kommer, at små ændringer i koden såsom filnavn ændringer, kode formørkelse, og nye IP-adresser blev alle gennemført.
Cylance siger malware fortsætter med at tilpasse sig efterhånden som flere oplysninger bliver offentliggjort.
“Vi mener, at malware er sandsynligvis en del af endnu en kommerciel (grayware) løsning solgt til regeringer og retshåndhævende myndigheder, og vi har grund til at tro, det er forsynet med en stærk tilknytning til en virksomhed, der er baseret i Italien — en ledende håber vi at undersøge, i den nærmeste fremtid,” siger selskabet.
Microsoft ‘ s forskning på malware i 2016 også resulteret i, at inddragelse af nye kode er beregnet til at deaktivere Windows Defender på Windows-10-operativsystemet. Den nye funktion forsøg på at slå til indsendelse af eksempler og deaktivere adfærd overvågning for at skjule tilstedeværelsen af en PowerShell dropper.
CNET: Google advarer politikerne til at beskytte deres personlige konti, for
Cylance siger, at denne malware adfærd er forholdsvis unik, og “blev gjort i forbindelse med Microsoft’ s tidligere forskning, og et forsøg på at holde ondsindede prøver ud af hænderne af forskere”.
ESET forskere dokumenteret udskiftning af FinFisher med StrongPity i 2017, at bemærke, at cyberattackers bag malware skubbet følsomme strenge som kommando-og-kontrol (C2) – domæner på stakken i Unicode. Nu, strengene er skubbet ind i Unicode og kodet.
Den seneste undersøgelse af malware ‘ s aktiviteter har vist, at StrongPity er stadig udnytte lignende infektion taktik og omdirigere brugere væk fra legitim software downloads.
Men den malware er nu også ved at blive ansat mod VLC-Afspiller, Internet Download Manager, WinRAR 5.50, og DAEMON Tools Lite.
Cylance siger, at efterhånden som flere sikkerhedsbulletiner, og rapporterne er offentliggjort på malware aktiviteter, truslen skuespiller bag StrongPity vil fortsætte med at tilpasse sig, som de har “betydelige ressourcer” til deres rådighed, og det kan kun tage mindre justeringer for at puste nyt liv i gamle angreb.
“Forsvarere og dem, de tjener ville gøre klogt i at tænke historisk og se tilbage oftere for at bese “mands minde” af trussel skuespiller adfærd og kampagner i både mål, organisationens historie, såvel som den større trussel efterretningstjenester,” Cylance siger. “På denne måde, forsvarere kan fortsat være opmærksomme på potentielle trusler bagfra, som de ellers har betragtet som “old news” — trusler, der blev udført og behandlet af sikkerhed samfund, men som ikke kan gøres for at arbejde med deres mål.”
Tidligere og relaterede dækning
Denne malware forklædt som bankgaranti til raid din konto Oceansalt cyberattack bølge knyttet til hedengangne Kinesiske APT Kommentar Besætning Kaspersky siger, at det detekterede infektioner med DarkPulsar, påståede NSA malware
Relaterede Emner:
Regeringen
Sikkerhed-TV
Data Management
CXO
Datacentre
0