for Nul-Dag
| November 21, 2019 — 13:44 GMT (13:44 GMT)
| Emne: Sikkerhed
Malware angreb på hospitaler er stigende
Sundhedssektoren gemmer nogle af de mest følsomme personlige oplysninger, der kan være omkring mennesker: hackere kender dette og søger at udnytte, hvad de betragter som et let mål.
En downloader malware er blevet opdaget ved hjælp af romanen “Port Monitor” metoder, der ikke har været opdaget før i aktive kampagner.
Døbt DePriMon, den ondsindede downloader er brugt til at installere malware, der anvendes af Lambert-også kendt som Longhorn advanced persistent threat (APT) gruppe, som har specialiseret sig i angreb på de Europæiske og mellemøstlige selskaber.
Kaspersky vurderer, at Lambert har været aktiv i hvert fald siden 2008, der henviser til, at Symantec runder op det år, som er tættere til 2011.
Truslen skuespillere bruge en række sårbarheder, fra zero-day fejl, inklusive CVE-2014-4148 Windows udnytte og bagdør for malware at infiltrere regering, finansiel, telekommunikation -, energi -, luftfarts -, IT -, og uddannelsesmæssige sektorer, hvilket fik dem til at tro på, at Lambert kan være statsstøttet.
Se også: Nye Buran ransomware-as-a-service-kriminelle lokker med rabat på licenser
I 2017, Symantec sagde, at mindst 40 mål i 16 lande, der er blevet kompromitteret af hackere.
APT bruger forskellige malware, der er tildelt forskellige farver ved cybersecurity forskere, at foretage rekognoscering, stjæle data og vedligeholde vedholdenhed.
Disse omfatter Sort Lampert, et aktivt implantat, der bruges til at oprette forbindelse til en command-and-control (C2) – server for at få instruktioner; Hvid Lampert, en passiv, net-baserede bagdør, Blå Lampert, en anden fase af malware nyttelast; Grøn Lampert, en ældre version af ovennævnte nyttelast; og Pink Lambert, en værktøjskasse, herunder et USB-at gå på kompromis modul og en orchestrator.
Den første Lampert angreb er ukendt. Men opdagelsen af malware i forbindelse med den nye DePriMon download er opmærksom på.
CNET: Facebook, Google ‘overvågning’ truer med menneskerettigheder, Amnesty International siger
ESET offentliggjort resultaterne af en undersøgelse af de downloader i et blog-indlæg på torsdag. Ifølge cybersecurity forskere kode bruger “mange ikke-traditionelle teknikker”, herunder registrering af en ny lokal port monitor til at opnå vedholdenhed.
Den port monitor med navnet “Windows Standard printer Monitor” – fører til at de downloader navn — og er blevet registreret ved en privat virksomhed i Europa, sammen med “snesevis af computere” i Mellemøsten, som også blev kompromitteret af Lambert malware.
DePriMon er hentet til hukommelse og udføres som en DLL-fil ved hjælp af reflekterende DLL-teknikker. Som downloader er aldrig gemmes på disken, kan dette reducere risikoen for at blive opdaget.
Den port monitor er registreret med en nøgle og en værdi, som kræver administrator rettigheder. For at opnå dette, DLL, vil blive indlæst ved spoolsv.exe på opstart af systemet.
“Vi mener, DePriMon er det første eksempel på malware, ved hjælp af denne teknik nogensinde offentligt beskrevet,” ESET siger.
En sti er så smedet til download og udførelse af de vigtigste malware nyttelast. Denne sti er krypteret ved hjælp af Microsoft ‘ s SSL/TLS og Sikker Kanal system, der er initialiseret med en Windows-stik og efterfølgende SSPI-sessioner. DePriMon kan også bruge Schannel, afhængigt af offerets system konfiguration.
DePriMon er derefter i stand til at kommunikere med sine C2 over TLS. Kommandoer og konfiguration data, der er krypteret med AES-256.
TechRepublic: 82% af SMB-execs forventer, at medarbejderne at sætte business-enheder, der har en risiko ferie shopping
“Tak til det sikre, design, konfiguration er ikke venstre i hukommelsen i ukrypteret form,” siger forskerne. “Hver gang du downloader behov for at bruge et element af konfigurationsfilen, dekrypterer den konfigurationsfil, henter den pågældende og krypterer filen igen. Dette design beskytter malware ‘ s primære funktion — C2 kommunikation-mod-hukommelse forensics.”
“DePriMon er en usædvanlig avanceret downloader, hvis udviklere har sat ekstra kræfter ind i at oprette arkitektur og skabelsen af de kritiske komponenter,” ESET tilføjet. “DePriMon er en kraftfuld, fleksibel og vedholdende værktøj designet til at hente en nyttelast og udføre det, og at samle nogle grundlæggende oplysninger om systemet, og brugeren undervejs.”
Tidligere og relaterede dækning
Når én ikke er nok: Denne lyssky malware vil inficere din PC med dual Trojanske heste
Emotet genopblussen pakker i nye binære filer, Trickbot funktioner
Cloud Atlas trussel gruppe opdateringer våben med polymorfe malware
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 21, 2019 — 13:44 GMT (13:44 GMT)
| Emne: Sikkerhed