för Zero Day
| November 21, 2019 — 13:44 GMT (13:44 GMT)
| Ämne: Säkerhet
Malware attacker på sjukhus är på uppgång
Sjukvården lagrar några av de mest känslig personlig information som det kan vara om människor: hackare vet detta och funderar på att utnyttja vad de ser som ett lätt mål.
En malware downloader har setts med romanen “Port Monitor”, metoder som inte har upptäckts tidigare i aktiva kampanjer.
Dubbade DePriMon, skadlig downloader används för att distribuera skadlig kod som används av Lambert-även känd som den Longhorn avancerade ihållande hot (APT) – gruppen-som specialiserat sig på attacker mot Europeiska och Mellanöstern företag.
Kaspersky uppskattar att Lambert har varit aktiv sedan åtminstone 2008, medan Symantec rundor upp året som närmare 2011.
Hotet aktörer använda en mängd olika sårbarheter, från dag noll-fel, inklusive CVE-2014-4148 Windows utnyttja och bakdörr för skadlig kod att infiltrera regeringen, finans -, telekom -, energi -, flyg -, IT-och utbildningssektorer, vilket föranleder tron att Lambert får vara i statlig regi.
Se också: Nya Buran ransomware-as-a-service frestar brottslingar med rabatt licenser
I 2017, Symantec sade att minst 40 mål i 16 länder har drabbats av angriparna.
APT använder olika malware, tilldelas olika färger av cybersäkerhet forskare, att bedriva spaning, stjäla information och upprätthålla uthållighet.
Dessa inkluderar Svarta Lampert, ett aktivt implantat används för att ansluta till ett kommando-och-kontroll (C2) server för instruktioner; Vit Lampert, en passiv, nät-baserade bakdörr, Blå Lampert, en andra etapp av malware nyttolast; Grön Lampert, en äldre version av den ovan nämnda last, och Rosa Lambert, en verktygslåda, inklusive en USB-äventyra-modul och en orchestrator.
Den första Lampert angreppspunkten är okänd. Men upptäckten av skadlig kod i tandem med den nya DePriMon ladda ner är att notera.
CNET: Facebook, Google ‘övervakning’ hotar de mänskliga rättigheterna, Amnesty International säger
ESET publicerade resultaten av en undersökning av den downloader i ett blogginlägg på torsdag. Enligt it-forskare, koden använder “många icke-traditionella tekniker”, inklusive registrering av en ny lokal port monitor för att uppnå uthållighet.
Port monitor heter “Windows Standard Print Monitor” – leder till downloader namn-och har upptäckts på ett privat företag i Europa, tillsammans med “massor av datorer” i Mellanöstern som också äventyras av Lambert malware.
DePriMon hämtas till minnet och köras som en DLL-fil med hjälp av reflekterande DLL-tekniker. Som downloader är aldrig lagras på hårddisken, detta kan minska risken för att bli upptäckt.
Port monitor är registrerade med en nyckel och värde, vilket kräver administratörsrättigheter. För att uppnå detta, DLL kan vara laddad av spoolsv.exe på start.
“Vi tror DePriMon är det första exemplet på skadlig kod som använder den här tekniken någonsin offentligt beskrivs,” ESET säger.
En väg är då smidda för nedladdning och utförande av de viktigaste malware nyttolast. Denna väg är krypterad med hjälp av Microsofts SSL/TLS och Säker Kanal system, initieras med en Windows socket och efterföljande SSPI sessioner. DePriMon kan också använda Schannel, beroende på offrets systemkonfiguration.
DePriMon sedan kunna kommunicera med sin C2 över TLS. Kommandon och configuration data är krypterat med AES-256.
TechRepublic: 82% av SMB-chefer förväntar sig de anställda att sätta företag enheter på risken med semester shopping
“Tack vare den säkra design, konfiguration är inte kvar i minnet i okrypterad form,” forskarna säger. “Varje gång downloader behov att använda för vissa element i konfigurationsfilen, dekrypterar konfigurationsfilen, hämtar medlem och krypterar filen igen. Denna konstruktion skyddar malware primära funktion-C2 kommunikation — mot minnet kriminalteknik.”
“DePriMon är en ovanligt avancerad downloader som utvecklare har lagt extra möda på att ställa upp på arkitektur och utformning av kritiska komponenter” ESET läggas till. “DePriMon är en kraftfull, flexibel och beständiga verktyg designat för att ladda ner en bomb och köra det, och för att samla in grundläggande information om systemet och dess användare längs vägen.”
Tidigare och relaterade täckning
När man inte är tillräckligt: Detta skumma skadlig kod kommer att infektera din DATOR med dubbla Trojaner
Emotet resurgence pack i nya binärer, Trickbot funktioner
Cloud Atlas hot grupp uppdateringar vapen med polymorfa malware
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 21, 2019 — 13:44 GMT (13:44 GMT)
| Ämne: Säkerhet