Detta är hur regeringen spyware StrongPity använder säkerhet forskarnas arbete mot dem

0
137

Noll

Samtidigt som forskare ser fram emot en hackare som går tillbaka till sina rötter för att skapa nya attacker från askan av den gamla — med ett par moderna, smärre tweaks.

It-arenan är i ständig förändring med ett pågående kampen äger rum mellan säkerhet leverantörer och forskare, hot aktörer och statligt stödda grupper.

Säkerhetsbulletiner och sårbarhet information är värdefull för säljare, IT-personal och it-säkerhet lagen lika.

Förvarnad är förberedd, och hålla dig uppdaterad om de senaste hoten och attackerna äger rum-till exempel i fallet med den pågående Magecart kampanj — kan ge organisationer möjlighet att granska deras säkerhet, infrastruktur och åtgärda problem, föråldrad programvara eller buggar, som behövs.

Bulletiner som också ger it-personal över hela världen möjlighet att ansluta prickar när det kommer till moderna hot grupper eller återkomsten av gamla hot.

Det är dock inte bara vita hattar som hittar en sådan rådgivning och säkerhetsbulletiner som är av intresse.

Enligt förebyggande av hot fast Cylance, “som försvarare loppet före för att identifiera nästa och nyaste metoder för angrepp, angriparna ofta släpar efter och återanvända den gamla och självklara med framgång.”

Se även: Bisarra botnet infekterar din DATOR för att skrubba bort cryptocurrency gruv-malware

Attacker upptäcks, de tekniska detaljerna för hur, när, och vad som är utsatt. Men som forskare gå vidare till nästa kampanj, några hot aktörer kommer att omstrukturera gamla attacker och återuppta dem.

Ett sådant hot skådespelare, bakom Promethium/StrongPity malware och tros vara brottsbekämpande eller statligt finansierad, har denna taktik.

Tillbaka i Mars, Medborgare Lab publicerat en rapport om användningen av Sandvine/Procera Deep Packet Inspection (DPI) hårdvara missbrukas för att utföra ” Man-in-The-Middle (MiTM) attacker på Internet trafik i syfte att distribuera StrongPity malware nyttolaster via webbläsare omdirigering.

Offer i Turkiet-och indirekt, Syrien — var riktade via sin INTERNETLEVERANTÖR. När användare har försökt att ladda ner legitima program, till exempel Avast Antivirus, 7-Zip, eller CCleaner, skulle de tyst omdirigeras till skadliga versioner som innehåller spionprogram buntar.

“Innan du byter till StrongPity spionprogram, operatörerna av Turkiet injektion används FinFisher “lagligt avlyssna” spionprogram, som FinFisher hävdar säljs endast till statliga myndigheter och bolag,” säger rapporten.

TechRepublic: Varför vi behöver mer it-säkerhet arbetstagare just nu

Rapporten byggde på tidigare forskning från Kaspersky Lab, Microsoft, och ESET. Nästan omedelbart efter publiceringen av bulletiner, men hotet skådespelare ändrat taktik.

StrongPity började använda en ny infrastruktur som förlitat sig på domäner som är registrerade i flera veckor efter Medborgare Lab: s forskning publicerades. Dessutom kan små ändringar i koden som fil ändring av namn, kod förvirring, och den nya IP-adresser var allt genomförs.

Cylance säger skadliga program fortsätter att anpassa sig när mer information är publicerad.

“Vi tror att de malware är sannolikt en del av ännu en kommersiell (grayware) lösning säljas till regeringar och brottsbekämpande organ, och vi har anledning att tro att det bär en stark koppling till ett företag baserat i Italien-en leder vi hoppas att undersöka i en nära framtid,” bolaget säger.

Microsofts forskning på malware 2016 också resulterat i införandet av nya koden är avsedd att inaktivera Windows Defender i Windows-10-operativsystem. Den nya funktionen försök att stänga av prov inlämning och inaktivera beteende övervakning i syfte att dölja förekomsten av ett PowerShell-pipett.

CNET: Google varnar politikerna för att skydda sina personliga konton för

Cylance säger detta skadliga beteende är relativt unik, och “gjordes som svar på Microsofts tidigare forskning och ett försök att hålla skadlig prover ur händerna på forskarna.”

ESET forskare dokumenterat byte av FinFisher med StrongPity 2017, notera att cyberattackers bakom skadlig kod trycks känsliga strängar som kommando-och-kontroll (C2) domäner på stacken i Unicode. Nu, strängarna trycks in Unicode-kodning.

Den senaste tidens granskning av skadlig kod s verksamhet har visat att StrongPity är fortfarande använda liknande infektion taktik och omdirigerar användare bort från legitima nedladdningar.

Men den malware är nu också används mot VLC Player, Internet Download Manager, WinRAR 5.50, och DAEMON Tools Lite.

Cylance säger att fler säkerhetsbulletiner och rapporter publiceras på malware verksamhet, hot skådespelaren bakom StrongPity kommer att fortsätta att anpassa sig eftersom de har ” betydande resurser till sitt förfogande, och det kan endast vidta de smärre justeringar för att återuppliva gamla attacker.

“Vi och dem de betjänar skulle göra klokt i att tänka historiskt och titta tillbaka ofta för att inspektera den “levande memory” av hot skådespelare beteende och kampanjer i både mål-organisationens historia, liksom att i större hot underrättelsetjänsten,” Cylance säger. “På detta sätt, försvarare kan vara uppmärksam på eventuella hot från bakom som de annars skulle ha betraktas som “gamla nyheter” — hot som var gjort och behandlas av säkerhet samhället, men som inte får göras för att ta itu med sina mål.”

Tidigare och relaterade täckning

Detta malware döljer sig som bank security raid ditt konto Oceansalt cyberattack våg kopplad till nedlagda Kinesiska APT Kommentar Crew Kaspersky säger att det upptäcks infektioner med DarkPulsar, påstådda NSA malware

Relaterade Ämnen:

Regeringen

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0