Denne trojan, malware bruges til at stjæle adgangskoder og sprede ransomware

0
8

Danny Palmer

Af Danny Palmer

| December 2, 2019 — 17:00 GMT (17:00 GMT)

| Emne: Sikkerhed

Malware angreb på hospitaler er stigende
Sundhedssektoren gemmer nogle af de mest følsomme personlige oplysninger, der kan være omkring mennesker: hackere kender dette og søger at udnytte, hvad de betragter som et let mål.

En nyligt opdaget hacking kampagne for en “avanceret cyber-kriminelle operation’ er rettet mod sundhed og uddannelse organisationer med custom-bygget, Python-baseret trojan, malware, som giver angriberne næsten kontrol af Windows-systemer med evne til at kontrollere handlinger og stjæle følsomme data.

Ondsindede funktioner, remote access (fjernadgang) trojan , døbt PyXie ROTTE, omfatter keylogging, credential høst, optager video, cookie tyveri, evnen til at udføre man-in-the-middle-angreb og evne til at anvende andre former for malware på inficerede systemer.

Alt dette er opnået, mens afhjælpning af dokumentation for mistænkelig aktivitet i et forsøg på at sikre, at malware ikke er opdaget.

Dog spor af de angreb, der er blevet fundet og beskrevet af cyber security forskere på Blackberry Cylance, der hedder malware PyXie på grund af den måde sin kompileret kode bruger en”.pyx’ file extension i stedet for en ‘.pyc’ typisk er forbundet med Python.

PyXie ROTTE har været aktiv siden i hvert fald 2018, og er meget tilpasset, hvilket indikerer, at en masse af tid og ressourcer, er gået med til at bygge det.

“Det tilpassede værktøjer og den kendsgerning, at det har været under radaren denne lange afgjort, viser et niveau af formørkelse og stealth i overensstemmelse med en avanceret cyber-kriminelle drift,” Josh Lemos, vicedirektør for forskning og intelligens på Blackberry Cylance fortalte ZDNet.

Malware er typisk leveret til ofre ved en sideloading teknik, der benytter sig af legitime programmer, til at hjælpe kompromis ofre. Et af disse programmer er omfattet af forskere, der var en trojanized version af et open source spil, som hvis den er downloadet, vil hemmeligt installere ondsindet payload, at bruge PowerShell til at eskalere privilegier og få vedholdenhed på maskinen.

En tredje fase af den multi-niveau hente ser PyXie ROTTE gearing noget kendt i koden som ‘Kobolt Mode’, som opretter forbindelse til en kommando og kontrol-server, samt downloade den sidste nyttelast.

SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)

Denne fase af download tager fordel af Kobolt-Strike – en legitim penetration testing tool – til at hjælpe med at installere malware. Det er en taktik, der er ofte indsat af cyber-kriminelle bander, og noget, som aids i at gøre angreb mere vanskeligt at tilskrive.

Denne særlige downloader også har ligheder med en anden, der bruges til at hente Shifu bank trojan, men kunne det bare være et tilfælde af kriminelle, der tager open source – eller stjålet – kode og re-purposing det til deres egne formål.

“En fordel ved at udnytte et bredt anvendt værktøj, som Kobolt Strike er det der gør attribution svært, da det bruges af mange forskellige trussel aktører såvel som legitime pentesters. Med Shifu banking trojanske ligheder, det er uklart, om det er de samme aktører, eller hvis en anden person har genbrugt nogle af sin kode,” sagde Lemos.

Når installeret på target-systemet, angriberne kan kan bevæge sig rundt i systemet og gennemføre kommandoer, som de har lyst. Ud over at være brugt til at stjæle brugernavne, adgangskoder og andre oplysninger ind i systemet, forskere opmærksom på, at der er tilfælde af PyXie bliver brugt til at levere ransomware til kompromitterede netværk.

“Dette er en full-featured ROTTE, der kan udnyttes til en bred vifte af mål og aktører vil have forskellige motiver afhængigt af målet miljø. Det faktum, at det har været brugt i forbindelse med ransomware i et par miljøer, der angiver, at de aktører, der kan være økonomisk motiveret, i det mindste i de tilfælde,” sagde Lemos.

Det fulde omfang af PyXie ROTTE kampagne er stadig ikke sikker, men forskere har identificeret angreb mod over 30 organisationer, især i sundhedssektoren og uddannelse industrier, med hundredvis af maskiner, som menes at være blevet smittet.

Bortset fra sandsynligt, at være en veludrustet cyber kriminel gruppe, det er i øjeblikket ukendt, hvem der står bag PyXie ROTTE, men at den kampagne, er der stadig menes at være aktiv.

Men på trods af den sofistikerede karakter af malware, forskere hævder, at det kan være beskyttet mod ved standard cyber hygiejne og virksomhedens sikkerhed bedste praksis, herunder operativsystemer og programmer patching, endpoint protection teknologi, revision, logning og overvågning af endpoint og netværk aktivitet og revision af legitimationsoplysninger, der bruges.

LÆS MERE OM IT-KRIMINALITET

Malware angreb på hospitaler er stiger hurtigt, og problemet er ved at blive meget værre, Hvorfor adware og Trojanske heste, plage uddannelse industrien TechRepublicCybersecurity: Under halvdelen af de organisationer, som er fuldt ud rede til at beskæftige sig med cyberangreb7 security tips til at holde folk og apps fra at stjæle dine data CNETDenne let-at-bruge oplysninger-at stjæle trojan, malware er hurtigt vinder popularitet blandt cyber-kriminelle

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

Danny Palmer

Af Danny Palmer

| December 2, 2019 — 17:00 GMT (17:00 GMT)

| Emne: Sikkerhed