DNSpionage kampagne frigiver nye Karkoff malware i naturen

0
21

L0rdix, den Schweiziske Hær kniv af Windows hacking, der er tilgængelig for køb i den Mørke Web
Det nye værktøj kombinerer data tyveri og cryptocurrency minedrift som et gå-på produktet for at angribe Windows-maskiner.

Hacking gruppen bag DNSpionage kampagnen er blevet mere kræsne i deres mål og har udgivet en ny form for malware at fremme deres mål.

DNSpionage, først opdaget i slutningen af 2018 af Cisco Talos, benytter sig af falske hjemmesider, og har specialiseret sig i DNS-manipulation til at omdirigere trafik fra lovlige domæner til dem, der er ondsindede. Truslen aktører også gøre brug af gratis Lad os Kryptere sikkerhed certifikater til omdirigeret domæner.

Tidligere angreb er blevet opdaget mod private Libanesiske mål, herunder et flyselskab, der sammen med regeringen domæner, der anvendes af Libanon og de Forenede Arabiske Emirater (UAE).

Gruppen har nu oprettet en ny remote administration tool, der understøtter HTTP-og DNS-kommunikation med deres kommando-og-kontrol (C2) – server, ifølge en ny Talos blog-indlæg, der offentliggøres tirsdag.

Da den oprindelige rapport, DNSpionage har nu moderniseret sit angreb med en ny rekognoscering fase for at undgå at blive opdaget af forskere og for at skabe et “fingeraftryk” for offer-systemer.

Mål er selektivt udvalgt og blive modtagere af spear phishing-beskeder, der indeholder en ondsindet Microsoft Word-og Excel-dokumenter, der indeholder skadelig makroer.

DNSpionage, når der udføres via makroer, der er omdøbt til “taskwin32.exe” og en planlagt opgave med det formål at opretholde vedholdenhed er navngivet “onedrive updater v10.12.5.” Strengene er også opdelt at sløre malware-kode.

Den skadelige kode, første har til formål at droppe en Windows batch-fil for at udføre WMI-kommandoer og få en liste af en maskine, kører processen, samt tragt platform-specifikke oplysninger til C2.

Se også: Trojanized TeamViewer bruges i det offentlige, ambassade-angreb i hele Europa

DNSpionage vil så søge efter en antivirus-produkter, specielt Avira og Avast. Hvis en vare er opdaget, vil visse indstillinger vil blive ignoreret, før du fortsætter med infektion.

Det var i denne måned, at Talos forskere opdaget nye Karkoff .Net malware. Holdet, siger, at malware er “lette” og giver mulighed for ekstern afvikling af kode gennem C2. Der er ingen uklarhed i spil, så Karkoff er nemt plukket fra hinanden.

Malware er en interessant element, men i og med, at Karkoff genererer en log-fil, som gemmer kommandoer, der er udført med timestamps. Hvis organisationer bliver offer for Karkoff, ville de være i stand til at bruge denne fil til at gennemgå præcis, hvad der skete, og hvor.

Der er infrastruktur overlapninger mellem DNSpionage og Karkoff, herunder IPs forbundet til en Karkoff C2 server, hvor brug af IPs af Karkoff og DNSpionage uafgjort godt med observeret angreb tidslinjer.

TechRepublic: ejere af Små virksomheder: Må ikke haste til at bruge AI

Det synes, at DNSpionage kan have en følelse af humor — eller i det mindste en eller anden form for foragt for cybersikkerhed industri. For eksempel, i en ondsindet Excel-dokument er opnået ved Talos, brugere bliver mødt med, fornærmelse “haha du er æsel.” En anden indikator er, at det domæne, der bruges til C2 ikke selv forsøger at fremstå legitimt, da det bruger navn coldfart.com og er hostet i Usa — usædvanligt træk for en kampagne, der forsøger at operere under radaren.

Det er muligt, at DNSpionage kan være forbundet med at OilRig, en trussel gruppe, der har fastholdt vedvarende angreb mod mål i Mellemøsten i en årrække. OilRig blev først opdaget i 2016 og bruger en bred vifte af Trojanske heste, DNS tunneling, og spear phishing-taktik snare mål.

CNET: Hackere ramte Atlanta Hawks-shop med malware, der stjæler kreditkortoplysninger

Talos siger, at der er en “svag” link mellem denne gruppe og DNSpionage baseret på samme URL-felter, men det er ikke på nuværende tidspunkt muligt at bekræfte, om eller ikke at de er ét og det samme, eller arbejder sammen.

“Truslen skuespiller’ s løbende udvikling af DNSpionage malware viser, at angriberen fortsætter med at finde nye måder til at undgå at blive opdaget,” siger forskerne. “De mærkværdigheder, som vi har nævnt, er bestemt ikke normale, men nyttelast var klart opdateret til at forsøge at forblive mere flygtige.”

I relaterede nyheder, Iranske hacking værktøjer, som for nylig blev lækket på Instagram. Som ZDNet har tidligere rapporteret, en leaker, der er involveret i situationen, der hævdes at være forbundet med DNSpionage kampagne, men dette er ikke blevet bekræftet.

Tidligere og relaterede dækning

Facebook bedt om at slå ned på politiet at oprette falske konti
Apple facial anerkendelse tech beder studerende til at sagsøge for $1 milliard efter falsk anholdelse
Skadelig livsstil apps, der findes på Google Play, 30 millioner installerer optaget

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre