Zero
Mentre i ricercatori sono in attesa, gli hacker stanno tornando alle loro radici per creare nuovi attacchi dalle ceneri di quelli vecchi, con un paio di moderno, piccoli ritocchi.
La sicurezza informatica arena è in continuo movimento, con una battaglia in corso tra i vendor e i ricercatori, minaccia attori, e stato sponsorizzato da gruppi.
Avvisi di sicurezza e vulnerabilità informazioni sono preziose per i fornitori, il personale, e la sicurezza informatica squadre uguali.
Uomo avvisato mezzo salvato, e mantenere up-to-date sulle ultime minacce e attacchi svolge-come nel caso del corso Magecart campagna-in grado di dare alle aziende l’opportunità di rivedere la propria infrastruttura di sicurezza e porre rimedio a problemi di software obsoleti, o bug, come necessario.
Avvisi anche dare sicurezza informatica professionisti in tutto il mondo l’opportunità di collegare i puntini, quando si tratta di minaccia moderna gruppi o la rinascita di vecchie minacce.
Tuttavia, non è solo bianco cappelli trovare tali avvisi e bollettini di sicurezza di interesse.
Secondo la prevenzione delle minacce ditta Cylance, “come difensori gara davanti a identificare i prossimi e più recenti metodi di attacco, gli hacker spesso in ritardo e il riutilizzo del vecchio e ovvio che in quelle con successo.”
Vedi anche: Bizzarri botnet infetta il PC a macchia di distanza cryptocurrency di data mining malware
Gli attacchi sono scoperti, i dettagli tecnici di come, quando, e ciò che è esposto. Tuttavia, i ricercatori di passare alla prossima campagna, qualche minaccia di attori ristrutturare il vecchio attacchi e riprendere.
Una tale minaccia attore, dietro il Promezio/StrongPity malware e crede di essere l’applicazione della legge-base o finanziato dallo stato, si avvale di questa tattica.
Nel mese di Marzo, Citizen Lab ha pubblicato una relazione che illustra l’uso di Sandvine/Procera Deep Packet Inspection (DPI) hardware che viene utilizzato per eseguire Man-in-The-Middle (MiTM), gli attacchi sul traffico Internet al fine di distribuire StrongPity malware payload tramite il reindirizzamento del browser.
Vittime in Turchia-e, indirettamente, Siria-sono stati mirati tramite il proprio ISP. Quando gli utenti hanno cercato di scaricare programmi legittimi come Avast Antivirus, 7-Zip o Winrar, che avrebbe silenziosamente essere reindirizzati ad dannoso versioni che conteneva spyware bundle.
“Prima di passare al StrongPity spyware, gli operatori della Turchia iniezione usata la FinFisher “legittimo intercettare” spyware che FinFisher afferma è venduto solo per gli enti di governo”, dice la relazione.
TechRepublic: Perché abbiamo bisogno di più lavoratori per la sicurezza cibernetica adesso
La relazione ha richiamato della ricerca precedente da Kaspersky Lab, Microsoft, e ESET. Quasi subito dopo la pubblicazione di bollettini, tuttavia, la minaccia attore cambiò tattica.
StrongPity iniziato a utilizzare un nuovo tipo di infrastruttura che invocata domini registrati, alcune settimane dopo il Citizen Lab ricerca è stata pubblicata. Inoltre, piccole modifiche di codice, ad esempio il nome del file cambia, il codice di offuscamento, e nuovi indirizzi IP sono state implementate tutte.
Cylance dice il malware continua ad adattarsi ulteriori informazioni è pubblicato.
“Crediamo che il malware è probabilmente parte di un altro commerciale (grayware) soluzione venduti ai governi e agenzie di applicazione di legge, e abbiamo ragione di credere che esso porta una forte connessione a una società con sede in Italia-un piombo speriamo di indagare nel prossimo futuro”, dice l’azienda.
Microsoft ricerca di malware nel 2016, inoltre, ha comportato l’inserimento del nuovo codice che intende disattivare Windows Defender in Windows 10 sistema operativo. La nuova funzionalità tentativi di disattivare l’invio di campioni e disattivare il monitoraggio del comportamento al fine di nascondere la presenza di un PowerShell contagocce.
CNET: Google mette in guardia i politici per proteggere il proprio account personale, troppo
Cylance dice che questo comportamento del malware è relativamente unico, e “stato fatto in risposta alla Microsoft la ricerca precedente e un tentativo di mantenere i campioni dannosi dalle mani dei ricercatori.”
ESET ricercatori hanno documentato la sostituzione di FinFisher con StrongPity nel 2017, notando che il cyberattackers dietro il malware spinto le stringhe sensibili come di comando e controllo (C2) domini sullo stack in Unicode. Ora, le stringhe sono spinto in Unicode e codificato.
Il recente esame del malware attività ha dimostrato che StrongPity è ancora utilizzando infezione simili tattiche e reindirizzare gli utenti di distanza dal legittimo il download di software.
Tuttavia, il malware è ora anche essere utilizzati contro il VLC Player, Internet Download Manager, WinRAR 5.50, e DAEMON Tools Lite.
Cylance dice che, come più bollettini di sicurezza e i rapporti sono pubblicati sul malware le attività, la minaccia attore dietro StrongPity continuerà ad adattarsi come sono “significativi” delle risorse a loro disposizione, e potrebbero essere necessari solo piccoli aggiustamenti per rivitalizzare vecchi attacchi.
“I difensori e coloro che servono farebbe bene a pensare storicamente e guardare indietro, più frequentemente, per ispezionare la “memoria vivente” di minaccia attore comportamento e le campagne sia l’organizzazione dell’obiettivo storia, che, come quella del più grande minaccia per la comunità dell’intelligence,” Cylance dice. “In questo modo, i difensori possono rimanere attenti a potenziali minacce da dietro che altrimenti avrebbero considerato “notizia vecchia” — minacce che sono state fatte e gestite dalle comunità di sicurezza, ma che non può essere fatto trattare con i loro obiettivi.”
Precedente e relativa copertura
Questo malware si traveste da banca di sicurezza per razziare il tuo account Oceansalt attacco onda legata al defunto Cinese APT Commento Equipaggio Kaspersky dice che ha rilevato infezioni con DarkPulsar, presunto NSA malware
Argomenti Correlati:
Governo
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0