L0rdix, il coltellino Svizzero di Windows hacking, disponibile per l’acquisto al Buio Web
Il nuovo strumento combina il furto di dati e cryptocurrency di data mining come un prodotto per attaccare i computer Windows.
Il gruppo di hacker dietro il DNSpionage campagna sono diventati più esigenti nei loro obiettivi, hanno rilasciato una nuova forma di malware per favorire i loro obiettivi.
DNSpionage, scoperto nel tardo 2018 da Cisco Talos, utilizza falsi siti web ed è specializzata nel DNS manomissione per reindirizzare il traffico da domini legittimi di quelli pericolosi. La minaccia attori inoltre usufruire di connessione Let’s Encrypt certificati di sicurezza per reindirizzato a domini.
Ultimi attacchi sono stati rilevati contro privati Libanesi obiettivi tra cui una compagnia aerea, al fianco di governo domini utilizzati dal Libano ed Emirati Arabi Uniti (UAE).
Il gruppo ha creato un nuovo strumento di amministrazione remota che supporta i protocolli HTTP e DNS comunicazione con il loro comando e controllo (C2) server, secondo un nuovo Talos blog post pubblicato martedì.
Dal momento che il rapporto originale, DNSpionage ora ha rinnovato i suoi metodi di attacco con una nuova fase di ricognizione al fine di evitare il rilevamento da parte dei ricercatori e per creare una “impronta digitale” per la vittima sistemi.
Gli obiettivi sono altamente selezionati e diventare destinatari di spear phishing messaggi contenenti un malware Microsoft Word ed Excel documenti contenenti macro dannose.
DNSpionage, quando viene eseguito attraverso le macro, è stato rinominato “taskwin32.exe” e un’operazione pianificata, progettata per mantenere la persistenza è denominato “onedrive updater v10.12.5.” Le stringhe sono suddivisi per offuscare il malware codice.
Il codice dannoso primo mira a eliminare un file batch Windows per eseguire i comandi WMI e ottenere un elenco di una macchina in esecuzione, nella procedura di canalizzazione informazioni specifiche della piattaforma per la C2.
Vedi anche: Trojan TeamViewer utilizzato dal governo, ambasciata attacchi in tutta Europa
DNSpionage ricerca per i prodotti antivirus; in particolare, Avira e Avast. Se il prodotto viene rilevato, alcune configurazioni verrà ignorato prima di procedere con l’infezione.
Era il mese di Talos i ricercatori hanno scoperto la nuova Karkoff .Net malware. Il team dice che il malware è “leggero” e permette l’esecuzione di codice remoto attraverso la C2. Non c’è nessun offuscamento in gioco in modo Karkoff è facilmente individuabile a parte.
Il malware non sono un elemento interessante, tuttavia, è che Karkoff genera un file di registro che memorizza i comandi eseguiti con timestamp. Se le organizzazioni di cadere vittima di Karkoff, essi sarebbero in grado di usare questo file per esaminare esattamente ciò che è accaduto, e dove.
Ci sono infrastrutture sovrapposizioni tra DNSpionage e Karkoff, tra IPs collegato ad un Karkoff C2 server in cui l’utilizzo di IPs da Karkoff e DNSpionage legare bene con osservato attacco timeline.
TechRepublic: proprietari di Piccole imprese: non correre in uso AI
Sembra che DNSpionage può avere un senso dell’umorismo-o almeno una qualche forma di disprezzo per il settore della sicurezza informatica. Per esempio, in uno dannoso documento di Excel ottenuto da Talos, gli utenti sono accolti con l’insulto “ahah si, sono d’asino”. Un altro indicatore è che il dominio utilizzato per la C2 non ha nemmeno cercare di apparire legittimo, in quanto utilizza il nome coldfart.com ed è ospitato gli Stati Uniti, movimenti insoliti per una campagna di provare a mettere sotto il radar.
È possibile che DNSpionage può essere collegato alla piattaforma petrolifera, una minaccia gruppo che ha mantenuto i persistenti attacchi contro obiettivi in Medio Oriente per un certo numero di anni. Per piattaforme petrolifere è stato scoperto nel 2016 e utilizza una varietà di Trojan DNS di tunneling, e spear phishing per gli obiettivi.
CNET: Hacker ha colpito Atlanta Hawks negozio con malware che ruba le informazioni della carta di credito
Talos dice che c’è un “debole” il legame tra questo gruppo e DNSpionage sulla base di analoghe URL campi, ma non è possibile, in questa fase, per confermare se o non sono uno e lo stesso, o stanno lavorando insieme.
“La minaccia dell’attore, il continuo sviluppo di DNSpionage malware mostra che l’attaccante continua a trovare nuovi modi per evitare il rilevamento,” dicono i ricercatori. “Le stranezze che abbiamo citato non sono di certo normale, ma il carico utile era chiaramente aggiornato per tentare di rimanere più sfuggente.”
In una notizia correlata, Iraniano strumenti di hacking sono stati recentemente trapelate su Instagram. Come ZDNet ha segnalato in precedenza, un leaker coinvolti nella situazione affermato di essere associati con DNSpionage campagna, ma questo non è stato confermato.
Precedente e relativa copertura
Facebook chiesto di bloccare i poliziotti creazione di account falsi
Apple riconoscimento facciale tech richiede studente di agire in giudizio per $1 miliardo, dopo false arresto
Dannoso lifestyle apps trovare su Google Play, 30 milioni di installazioni registrate
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati