voor Zero Day
| 21 November 2019 — 13:44 GMT (13:44 GMT)
| Onderwerp: Security
Malware-aanvallen op ziekenhuizen zijn op de stijging
De healthcare industrie slaat een aantal van de meest gevoelige persoonlijke informatie er kan worden over mensen: hackers weten dit en zijn op zoek te benutten wat ze beschouwen als een makkelijk doelwit.
Een malware downloader is gespot met behulp van nieuwe “Port Monitor” – methoden die niet zijn gedetecteerd voordat in actieve campagnes.
Nagesynchroniseerde DePriMon, de kwaadaardige downloader wordt gebruikt voor het implementeren van malware gebruikt door Lambert-ook bekend als de Longhorn advanced persistent threat (APT) groep — die is gespecialiseerd in het aanvallen tegen de Europese en Midden-Oosterse bedrijven.
Kaspersky schat dat Lambert is actief sinds 2008, terwijl Symantec rondt het jaar als dichter voor 2011.
De dreiging actoren gebruik maken van een verscheidenheid van kwetsbaarheden, van zero-day bugs inclusief de CVE-2014-4148 Windows exploiteren en de achterdeur malware te infiltreren in de overheid, financiële -, telecom -, energie -, luchtvaart -, en educatieve sectoren, waarin de overtuiging dat Lambert kan worden gesponsord door de staat.
Zie ook: Nieuwe Buran ransomware-as-a-service verleidt criminelen met korting licenties
In 2017, Symantec zei dat ten minste 40 doelen in 16 landen zijn aangetast door de aanvallers.
De APT maakt gebruik van verschillende malware, toegewezen verschillende kleuren door cybersecurity onderzoekers, uitvoeren van verkenningen, het stelen van gegevens en het handhaven van persistentie.
Deze zijn Zwart Lampert, een actief implantaat gebruikt om verbinding te maken met een command-and-control (C2) – server voor instructies; Wit Lampert, een passieve, netwerk-gebaseerde backdoor; Blauw Lampert, een tweede-fase malware lading; Groen Lampert, een oudere versie van de bovengenoemde lading; en Roze Lambert, een toolkit met inbegrip van een USB-gevaarlijke module en een orchestrator.
De eerste Lampert aanval is onbekend. Echter, de ontdekking van de malware in combinatie met de nieuwe DePriMon downloaden is van het merk.
CNET: Facebook, Google ‘surveillance’ dreigt de rechten van de mens, Amnesty International zegt
ESET de resultaten gepubliceerd van een onderzoek naar de downloader in een blog post op donderdag. Volgens de cybersecurity onderzoekers, de code maakt gebruik van “vele niet-traditionele technieken” met inbegrip van de registratie van een nieuwe lokale poort monitor te bereiken persistentie.
De port monitor met de naam “Windows Standaard Print Monitor” – wat leidt tot de downloader naam — is gesignaleerd bij een eigen bedrijf in Europa, naast “tientallen computers” in het Midden-Oosten werden ook aangetast door Lambert malware.
DePriMon is het geheugen geladen en uitgevoerd als een DLL-bestand met reflecterende DLL-technieken. Als de downloader wordt nooit opgeslagen op schijf, dit kan verminderen het risico om te worden gedetecteerd.
De port monitor is geregistreerd met een sleutel en waarde, waarvoor administrator-rechten. Om dit te bereiken, is de DLL wordt geladen door spoolsv.exe bij opstarten van het systeem.
“Wij geloven DePriMon is het eerste voorbeeld van malware met behulp van deze techniek ooit publiekelijk beschreven,” ESET zegt.
Een pad is dan gesmeed voor het downloaden en uitvoeren van de belangrijkste malware lading. Dit pad is versleuteld met behulp van Microsoft SSL/TLS en Beveiligd Kanaal systeem, geïnitialiseerd met een Windows socket en de daaropvolgende SSPI sessies. DePriMon kunnen ook gebruik maken van Schannel, afhankelijk van de slachtoffer-systeem configuratie.
DePriMon is dan in staat om te communiceren met de C2 over TLS. Commando ‘ s en configuratie data is versleuteld met AES-256.
TechRepublic: 82% van de SMB-directeuren van bedrijven verwachten dat de werknemers zakelijke apparaten in gevaar met vakantie winkelen
“Dankzij de veilige ontwerp, de configuratie is niet links in het geheugen in gecodeerde vorm,” zeggen de onderzoekers. “Elke keer dat de downloader moet op een element van het configuratie bestand, decodeert het configuratie bestand, haalt het lid en versleutelt het bestand opnieuw. Dit ontwerp beschermt de malware de primaire functie — C2 communicatie — tegen geheugen forensisch onderzoek.”
“DePriMon is een buitengewoon geavanceerde downloader waarvan de ontwikkelaars hebben extra inspanning in het opzetten van de architectuur en het bewerken van de kritische componenten van de” ESET toegevoegd. “DePriMon is een krachtige, flexibele en permanente hulpprogramma dat is ontworpen voor het downloaden van een lading en uit te voeren, en om het verzamelen van een aantal basisgegevens over het systeem en de gebruiker langs de weg.”
Vorige en aanverwante dekking
Wanneer een niet genoeg is: Deze schaduwrijke malware te infecteren uw PC met dual Trojaanse paarden
Emotet opleving packs in nieuwe binaire bestanden, Trickbot functies
Cloud Atlas bedreiging groep updates wapens met polymorfe malware
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 21 November 2019 — 13:44 GMT (13:44 GMT)
| Onderwerp: Security