L0rdix, den Schweiziska armékniven av Windows dataintrång, finns att köpa i de Mörka Webben
Det nya verktyget kombinerar data stöld och cryptocurrency gruvdrift som en gå-till-produkt för att attackera Windows-maskiner.
Hacka gruppen bakom DNSpionage kampanj har blivit mer kräsen i sina mål och har släppt en ny form av skadlig kod för att främja sina mål.
DNSpionage, som först upptäcktes i slutet av 2018 av Cisco Talos, använder falska webbplatser och har specialiserat sig på DNS-manipulation för att omdirigera trafik från legitima domäner till skadliga program. Hotet aktörer också använda sig av gratis Låt oss Kryptera säkerhetscertifikat för omdirigeras domäner.
Tidigare attacker har upptäckts mot eget Libanesiska mål, bland annat ett flygbolag, tillsammans med regeringen domäner som används av Libanon och Förenade Arabemiraten (UAE).
Koncernen har nu skapat en ny remote administration verktyg som stöd för HTTP och DNS-kommunikation med sina kommando-och-kontroll (C2) server, enligt en ny Talos blogg inlägg som publiceras på tisdagen.
Eftersom den ursprungliga rapporten, DNSpionage har nu gjort om sin attack med en ny spaning skede för att undvika upptäckt av forskare och för att skapa ett “fingeravtryck” för offret system.
Målen är selektivt utvalda och bli mottagare av spear phishing-meddelanden som innehåller skadlig Microsoft Word-och Excel-dokument som innehåller skadliga makron.
DNSpionage, när det utförs genom makron, namn “taskwin32.exe” och en schemalagd aktivitet som syftar till att upprätthålla uthållighet heter “onedrive updater v10.12.5.” Strängar är även uppdelad för att dölja skadlig kod.
Skadlig kod som första mål att släppa en Windows batch-fil för att köra WMI-kommandon och få en lista på en maskin som kör processen, samt tratt plattform-viss information till C2.
Se även: Trojanized TeamViewer används i regeringen, ambassaden attacker i hela Europa
DNSpionage kommer då att söka efter antivirus-produkter, specifikt, Mcafee, och Avast. Om någon produkt upptäcks, vissa konfigurationer kommer att ignoreras innan du fortsätter med infektion.
Det var denna månaden som Talos forskare upptäckte den nya Karkoff .Net malware. Laget säger att det skadliga programmet är “lätt” och möjliggör fjärrkörning av kod via C2. Det finns ingen förvirring i spela så Karkoff är lätt plockas isär.
Det skadliga programmet har en intressant fråga, men i och med att Karkoff skapar en logg-fil som lagrar utförda kommandon med tidsstämplar. Om organisationer faller offer för Karkoff, de skulle kunna använda den här filen för att granska exakt vad som hände, och där.
Det är infrastruktur överlappningar mellan DNSpionage och Karkoff, inklusive IPs ansluten till en Karkoff C2 server där användning av IPs av Karkoff och DNSpionage slips samt med observerade attack tidslinjer.
TechRepublic: företagare: inte rusa in med hjälp av AI
Det verkar som DNSpionage kan ha en känsla för humor-eller åtminstone någon form av förakt för it-branschen. Till exempel, i en skadlig Excel-dokument som erhållits av Talos, användare möts med förolämpning “haha du är en åsna.” En annan indikator är att den domän som används för C2 inte ens försöka framstå som legitim, eftersom den använder namnet coldfart.com och är värd i Usa — ovanligt drag för en kampanj att försöka verka under radarn.
Det är möjligt att DNSpionage kan vara ansluten till Oljerigg, ett hot grupp som har behållit ihållande attacker mot mål i Mellanöstern under ett antal år. Oljerigg upptäcktes först under 2016 och använder olika typer av Trojaner, DNS-tunnel, och spear phishing taktik för att snara mål.
CNET: Hackare slog Atlanta Hawks butik med skadliga program som stjäl information om kreditkort
Talos säger att det är en “svag” – länken mellan denna grupp och DNSpionage baserat på liknande URL-fält, men det är inte möjligt att i detta skede att bekräfta huruvida eller inte de är en och samma, eller arbetar tillsammans.
“Hotet aktör för fortsatt utveckling av DNSpionage malware visar att angriparen fortsätter att hitta nya sätt för att undvika upptäckt,” forskarna säger. “De underligheter som vi nämnde är verkligen inte normal, men nyttolasten var tydligt att uppdateras för att försöka vara mer svårfångade.”
I relaterade nyheter, Iranska hacking verktyg har nyligen läckt ut på Instagram. Som ZDNet har tidigare rapporterat, en leaker inblandade i situationen hävdade att förknippas med DNSpionage kampanj, men detta har inte kunnat bekräftas.
Tidigare och relaterade täckning
Facebook ombedd att slå ner på cops att skapa falska konton
Apple ansiktsigenkänning tech uppmanas studenten att stämma för $1 miljard euro efter falska gripandet
Skadlig livsstil appar som finns på Google Play, 30 miljoner installeras registreras
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter