Zero
Il LuckyMouse advanced persistent threat (APT) è tornato con un tocco di tattica, che sfrutta LeagSoft certificati per diffondere Trojan tramite maligni NDISProxy driver.
Era di nuovo nel mese di giugno che i ricercatori hanno scoperto che LuckyMouse, noto anche come EmissaryPanda e APT27, aveva designato un national data center che contengono Asiatico, le risorse del governo.
In questa campagna precedente, LuckyMouse utilizzato dannoso documenti incorporati con le macro che ha sfruttato ampiamente noto di Microsoft Word vulnerabilità. Di lingua Cinese minaccia gruppo ha scelto il centro per rubare un “ampia gamma di risorse pubbliche in un colpo solo.”
Tuttavia, in un tocco di freschezza, l’APT è tornato che utilizza apparentemente legittimi certificati di sicurezza rilasciato da VeriSign Cinese sviluppatore di software di sicurezza LeagSoft.
Kaspersky ricercatori hanno detto lunedì che LuckyMouse ha sfruttato i certificati appartenenti al Shenzhen, Guangdong azienda dal Marzo 2018. Sembra che essi sono stati rubati.
Utilizzando questi certificati, la minaccia attori hanno lanciato una nuova campagna che mira a exploit di rete di Windows driver del filtro NDISProxy, sia a 32 – e 64-bit versioni, a seconda della macchina di destinazione.
NDISProxy, noto anche come Ndproxy.sys è legittimo il software del driver che riunisce NDISWAN e CoNDIS WAN con i driver TAPI servizi.
Da compromettere questo componente di Windows tramite l’utilizzo di un dannoso NDISProxy strumento firmato con un legittimo certificato, il driver strumento può essere utilizzato per infettare lsass.exe sistema di memoria del processo.
Il Trojan payload, che era stato precedentemente registrati, si compone di tre moduli principali. Il primo è un custom C++ programma di installazione che crea un esecuzione automatica di Windows servizio di Troia, la persistenza. Inoltre, il modulo è in grado di rilasciare il crittografato Trojan nel sistema del registro di sistema.
Invece di utilizzare file eseguibile di Windows loader, il Trojan di accesso remoto (RATTO) viene decifrato dal NDISProxy driver dal registro di sistema e iniettato nel lsass.exe il processo di memoria attraverso l’uso di Shellcode.
Vedi anche: Top app per Mac anti-adware software in App Store ruba la vostra cronologia di navigazione
Il secondo modulo filtri la porta 3389 del traffico per nascondere il Trojan dannoso di attività di rete all’interno. Questo passaggio garantisce che il malware è in grado di comunicare con il suo comando e controllo (C2) server senza rilevamento.
Il finale è un modulo personalizzato C++ Trojan che agisce come un server HTTPS e la piattaforma per il C2 di comunicazione.
“Questi moduli consentono di silenzio spostare lateralmente infetto infrastrutture, ma non permettere loro di comunicare con l’esterno C2 se il nuovo host infetto ha solo un IP LAN,” dicono i ricercatori. “A causa di questo, gli operatori hanno utilizzato un Lombrico CALZE tunneler per collegare la LAN host infetto verso l’esterno, in C2.”
Il Trojan ascoltare e installare keylogger, al fine di raccogliere le credenziali di amministratore. In caso di successo, la linea di scansione scanner di rete è utilizzato anche per diffondere il malware tramite la condivisione di file attraverso una rete aziendale.
CNET: Dipartimento di Giustizia oneri a Nord il coreano oltre WannaCry, Sony hack
Il Trojan è in grado di completare molte delle attività di un tipico membro di questa famiglia di malware; compresa l’esecuzione del comando e di keylogging, così come il download e upload di file.
LuckyMouse del NDISProxy strumento, inoltre, fa uso di una varietà di altri componenti di terze parti e di codice open-source, come il Blackbone Windows hacking biblioteca ospitato su GitHub.
TechRepublic: Come si può ottenere low-tech hacked
I ricercatori dicono che non phishing campagne sono state rilevate utilizzare il Trojan dropper. Invece, si ritiene che attualmente il malware è attualmente solo diffondendo in reti che sono già in qualche modo compromessa.
L’ultima LuckyMouse attacchi si sono concentrati su enti governativi nel centro dell’Asia e ha avuto luogo al tempo stesso come una “riunione di alto livello”, anche se non è stato reso noto esattamente quale è la situazione politica era a portata di mano.
Mentre l’attribuzione è difficile, Kaspersky ricercatori ritengono che la politica, in qualche modo, è il cuore della campagna.
“Questa campagna sembra dimostrare, ancora una volta LuckyMouse interesse in Asia Centrale e l’agenda politica che circonda la Cooperazione di Shanghai Organizzazione,” l’azienda dice.
La Shanghai cooperation Organization (SCO) è un patto fatto di paesi, tra cui Cina, Russia e organismi Europei per discutere di politiche globali, economici, e di problemi di sicurezza.
Kaspersky ha fatto LeagSoft a conoscenza del problema attraverso CN-CERT. ZDNet ha anche tentato di contattare l’azienda e Verisign e aggiornerà se sentiamo di ritorno.
Precedente e relativa copertura
Mirai, Gafgyt IoT botnet stab sistemi con Apache Struts, SonicWall exploit Popolare Vpn contenute esecuzione di codice in modalità falle di sicurezza, nonostante le patch Sbucciate le cipolle e un Meno di a Touch: Verizon data breach digest solleva il coperchio sul furto tattiche
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0