per Zero-Day
| 21 novembre 2019 — 13:44 GMT (13:44 GMT)
| Argomento: Sicurezza
Gli attacchi di Malware, gli ospedali sono in aumento
Il settore sanitario conserva alcuni dei più informazioni personali sensibili, ci possono essere persone: gli hacker lo sanno e stanno cercando di sfruttare quello che vedono come un facile bersaglio.
Un downloader malware è stato individuato utilizzando romanzo “Porta Monitor” metodi che non sono stati rilevati prima in campagne attive.
Soprannominato DePriMon, dannoso downloader è utilizzato per distribuire malware utilizzato da Lambert, noto anche come il Longhorn advanced persistent threat (APT) del gruppo-che è specializzato in attacchi contro Europee e del Medio oriente aziende.
Kaspersky stima che Lambert è stato attivo almeno dal 2008, mentre Symantec completa l’anno più vicino al 2011.
La minaccia attori utilizzare una varietà di vulnerabilità zero-day di bug, tra cui la vulnerabilità CVE-2014-4148 Windows exploit e malware backdoor per infiltrarsi nel governo, finanziari, le telecomunicazioni, l’energia, l’aviazione, e i settori educativi, spingendo la convinzione che Lambert può essere finanziato dallo stato.
Vedere anche: Nuovo Buran ransomware-come-un-servizio tenta criminali con sconto licenze
Nel 2017, Symantec ha detto che almeno il 40 destinazioni in 16 paesi sono stati compromessi da aggressori.
L’APT usa malware vari, ricevuto diversi colori da ricercatori di sicurezza informatica, per condurre una ricognizione, rubare i dati, e mantenere la persistenza.
Questi includono il Nero Lampert, attivo un impianto utilizzato per connettersi a un comando e controllo (C2) server per le istruzioni; Bianco Lampert, passivo, basato sulla rete di backdoor; Blu Lampert, una seconda fase di malware payload; Verde Lampert, una versione precedente del suddetto carico utile; e Rosa Lambert, un kit di strumenti tra cui una USB-compromettere modulo e orchestratore.
Iniziale Lampert vettore di attacco è sconosciuto. Tuttavia, la scoperta di malware in tandem con il nuovo DePriMon download di nota.
CNET: Facebook, Google “sorveglianza”, minaccia i diritti umani, Amnesty International dice
ESET ha pubblicato i risultati di un’indagine in cui il downloader in un post sul blog di giovedì. Secondo i ricercatori di sicurezza informatica, il codice utilizza “molti non tradizionali tecniche”, tra cui la registrazione di un nuovo monitor di porta locale per ottenere la persistenza.
Il monitor della porta è denominata “Stampa Predefinite di Windows Monitor” — leader del downloader nome-ed è stato rilevato a una società privata in Europa, a fianco di “decine di computer” in Medio Oriente, che erano anche compromesso da Lambert malware.
DePriMon è scaricata in memoria ed eseguito come una DLL che utilizza riflettente DLL tecniche. Come il downloader non è memorizzato sul disco, questo può ridurre il rischio di essere scoperti.
Il monitor della porta è registrato con una chiave e un valore, che richiede i diritti di amministratore. Per raggiungere questo obiettivo, la DLL verrà caricato da spoolsv.exe all’avvio del sistema.
“Crediamo DePriMon è il primo esempio di malware utilizzando questa tecnica mai pubblicamente descritto,” ESET dice.
Un percorso che è poi forgiato per il download e l’esecuzione delle principali malware payload. Questo percorso è crittografata utilizzando Microsoft SSL/TLS e Sicuro sistema a Canale, inizializzato con un socket di Windows e successive SSPI sessioni. DePriMon può anche utilizzare Schannel, a seconda vittima configurazione di sistema.
DePriMon è quindi in grado di comunicare con i suoi C2 su TLS. Comandi di configurazione e i dati vengono crittografati con AES-256.
TechRepublic: 82% di SMB dirigenti di aspettarsi che gli impiegati mettere dispositivi aziendali a rischio con lo shopping di festa
“Grazie al suo design, la configurazione non è lasciato in memoria in forma crittografata,” dicono i ricercatori. “Ogni volta che il downloader ha la necessità di utilizzare alcuni elementi del file di configurazione, decodifica i file di configurazione, recupera il membro e crittografa i file di nuovo. Questo design protegge il malware funzione primaria — C2 comunicazione — contro la memoria della scientifica.”
“DePriMon è un insolitamente avanzate downloader in cui gli sviluppatori hanno messo in ulteriore sforzo di costituzione, l’architettura e lavorazione di componenti critici,” ESET aggiunto. “DePriMon è un potente, flessibile e persistente strumento progettato per scaricare un payload e di eseguirlo e di raccogliere alcune informazioni di base sul sistema dell’utente lungo il percorso”.
Precedente e relativa copertura
Quando uno non è abbastanza: Questo ombroso malware di infettare il PC con dual Trojan
Emotet resurgence pack in nuovi binari, Trickbot funzioni
Cloud Atlas minaccia gli aggiornamenti del gruppo armi con malware polimorfi
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 21 novembre 2019 — 13:44 GMT (13:44 GMT)
| Argomento: Sicurezza