Logo ru.nowadaytechnol.com

Новое вредоносное ПО подтверждает активность пользователя перед тем, как использовать бэкдор для кибершпионажа

Оглавление:

Новое вредоносное ПО подтверждает активность пользователя перед тем, как использовать бэкдор для кибершпионажа
Новое вредоносное ПО подтверждает активность пользователя перед тем, как использовать бэкдор для кибершпионажа

Видео: Новое вредоносное ПО подтверждает активность пользователя перед тем, как использовать бэкдор для кибершпионажа

Видео: Новое вредоносное ПО подтверждает активность пользователя перед тем, как использовать бэкдор для кибершпионажа
Видео: Вредоносный код проник в командную строку - скрытый BackDoor 2024, Марш
Anonim
Image
Image

Компания ESET, занимающаяся кибербезопасностью, обнаружила, что известная и неуловимая хакерская группа незаметно развертывает вредоносное ПО, имеющее определенные цели. Вредоносная программа использует бэкдор, который в прошлом успешно оставался незамеченным. Кроме того, программное обеспечение проводит несколько интересных тестов, чтобы убедиться, что оно нацелено на активно используемый компьютер. Если вредоносная программа не обнаруживает активность или ее не устраивает, она просто отключается и исчезает, чтобы поддерживать оптимальную скрытность и уклоняться от возможного обнаружения. Новое вредоносное ПО ищет важных персон в правительственном аппарате штата. Проще говоря, вредоносная программа преследует дипломатов и правительственные ведомства по всему миру.

В Ke3chang Продвинутая постоянная группа угроз, похоже, снова появилась с новой целенаправленной хакерской кампанией. Группа успешно запускает и управляет кампаниями по кибершпионажу как минимум с 2010 года. Деятельность и эксплойты группы достаточно эффективны. В сочетании с намеченными целями, похоже, что группу спонсирует нация. Последняя разновидность вредоносного ПО, развернутая Ke3chang группа довольно сложная. Также были хорошо спроектированы ранее развернутые трояны удаленного доступа и другое вредоносное ПО. Однако новое вредоносное ПО выходит за рамки слепого или массового заражения целевых машин. Напротив, его поведение вполне логично. Вредоносная программа пытается подтвердить и аутентифицировать личность цели и машины.

Исследователи кибербезопасности из ESET выявили новые атаки, автор Ke3chang:

Продвинутая постоянная группа угроз Ke3chang, активная по крайней мере с 2010 года, также определяется как APT 15. Популярная словацкая антивирусная компания, брандмауэр и другая компания ESET, занимающаяся кибербезопасностью, выявила подтвержденные следы и свидетельства деятельности группы. Исследователи ESET утверждают, что группа Ke3chang использует свои проверенные и проверенные методы. Однако вредоносная программа была значительно обновлена. Более того, на этот раз группа пытается использовать новый бэкдор. Ранее неоткрытый и незарегистрированный бэкдор предварительно получил название Okrum.

Исследователи ESET также указали, что их внутренний анализ указывает на то, что группа преследует дипломатические органы и другие правительственные учреждения. Между прочим, группа Ke3chang проявляла исключительную активность в проведении сложных, целевых и настойчивых кампаний кибершпионажа. Традиционно группа преследовала правительственных чиновников и важных личностей, которые работали с правительством. Их деятельность наблюдалась в странах Европы, Центральной и Южной Америки.

Новое вредоносное ПО Okrum, используемое Ke3chang Group для нацеливания на дипломатов https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO

- Store4app (@ Store4app1) 18 июля 2019 г.

Интерес и внимание ESET по-прежнему по-прежнему сосредоточены на группе Ke3chang, поскольку группа достаточно активно работала в родной стране компании, Словакии. Однако другими популярными целями группы являются Бельгия, Хорватия, Чехия в Европе. Известно, что группа нацелена на Бразилию, Чили и Гватемалин в Южной Америке. Действия группы Ke3chang указывают на то, что это может быть спонсируемая государством хакерская группа с мощным оборудованием и другими программными инструментами, недоступными обычным или индивидуальным хакерам. Следовательно, последние атаки также могут быть частью долгосрочной непрерывной кампании по сбору разведданных, отмечает Зузан Хромцова, исследователь ESET: «Основная цель злоумышленника, скорее всего, - кибершпионаж, поэтому они выбрали эти цели».

Как работает вредоносное ПО Ketrican и бэкдор Okrum?

Вредоносная программа Ketrican и бэкдор Okrum довольно сложны. Исследователи безопасности все еще изучают, как бэкдор был установлен или сброшен на целевые машины. Хотя распространение бэкдора Okrum продолжает оставаться загадкой, его работа еще более увлекательна. Бэкдор Okrum проводит некоторые тесты программного обеспечения, чтобы подтвердить, что он не работает в песочнице, которая, по сути, представляет собой безопасное виртуальное пространство, которое исследователи безопасности используют для наблюдения за поведением вредоносного программного обеспечения. Если загрузчик не получает надежных результатов, он просто завершает работу, чтобы избежать обнаружения и дальнейшего анализа.

Весьма интересен также метод бэкдора Okrum, подтверждающий, что он работает на компьютере, работающем в реальном мире. Загрузчик или бэкдор активирует путь для получения фактической полезной нагрузки после того, как левая кнопка мыши была нажата не менее трех раз. Исследователи считают, что этот подтверждающий тест проводится в первую очередь для того, чтобы убедиться, что бэкдор работает на реальных, работающих машинах, а не на виртуальных машинах или песочнице.

Как только загрузчик удовлетворен, бэкдор Okrum сначала предоставляет себе полные права администратора и собирает информацию о зараженной машине. В нем содержится такая информация, как имя компьютера, имя пользователя, IP-адрес хоста и установленная операционная система. После этого потребуются дополнительные инструменты. Новое вредоносное ПО Ketrican также довольно сложное и обладает множеством функций. У него даже есть встроенный загрузчик, а также загрузчик. Механизм загрузки используется для скрытого экспорта файлов. Инструмент загрузки внутри вредоносной программы может запрашивать обновления и даже выполнять сложные команды оболочки, чтобы проникнуть глубоко внутрь хост-машины.

Группа теневого вредоносного ПО старой закалки, которая, как полагают, действовала из Чин, нацелена на дипломатов с помощью того, что, по мнению исследователей информационной безопасности, является ранее недокументированным бэкдором. Группа Ke3chang, которая существует уже несколько лет, уже давно…

- The Register: Summary (@_TheRegister) 18 июля 2019 г.

Исследователи ESET ранее заметили, что бэкдор Okrum может даже развертывать дополнительные инструменты, такие как Mimikatz. Этот инструмент по сути является скрытым кейлоггером. Он может наблюдать и записывать нажатия клавиш и пытаться украсть учетные данные для входа на другие платформы или веб-сайты.

Между прочим, исследователи заметили несколько сходств в командах, которые бэкдор Okrum и вредоносное ПО Ketrican используют для обхода безопасности, предоставления повышенных привилегий и выполнения других незаконных действий. Безошибочное сходство между ними привело исследователей к мысли, что они тесно связаны. Если это недостаточно сильная ассоциация, оба программного обеспечения были нацелены на одних и тех же жертв, отметила Хромцова: «Мы начали соединять точки, когда обнаружили, что бэкдор Okrum использовался для удаления бэкдора Ketrican, скомпилированного в 2017 году. Кроме того, мы обнаружили, что некоторые дипломатические организации, которые были затронуты вредоносным ПО Okrum и бэкдорами Ketrican 2015 года, также были затронуты бэкдорами Ketrican 2017 года.”

APT-группа Ke3chang сбрасывает бомбу Okrum через черный ход на дипломатические цели https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR

- 420 Cyber, Inc. (@ 420Cyber) 18 июля 2019 г.

Две взаимосвязанные части вредоносного программного обеспечения, разделенные годами, и постоянная деятельность группы постоянных угроз Ke3chang указывают на то, что эта группа остается верной кибершпионажу. В ESET уверены, группа совершенствует свою тактику, а характер атак становится все изощреннее и эффективнее. Группа кибербезопасности в течение длительного времени ведет хронику действий группы и ведет подробный аналитический отчет.

Совсем недавно мы сообщили о том, что хакерская группа отказалась от других незаконных действий в Интернете и сосредоточилась на кибершпионаже. Вполне вероятно, что хакерские группы могут найти лучшие перспективы и вознаграждение в этой деятельности. С ростом числа атак, спонсируемых государством, правительства-изгои также могут тайно поддерживать группы и предлагать им помилование в обмен на ценные государственные секреты.

Рекомендуемые:

Тенденции

Исправлено: Err_connection_refused в Google Chrome

Обновление "Космические инженеры" меняет многопользовательский режим

Предшественник MacOS Proton RAT, Calisto, обнаружен на VirusTotal

Исправление: обратитесь к администратору для получения разрешения

Intel готовится к выпуску низковольтных чипов с TDP 14 нм + серии Amber Lake-Y 5 Вт с повышенными тактовыми частотами

Microsoft PowerShell Core теперь доступен в виде Snap-пакета в дистрибутивах Linux

Корпорация PUBG приносит свои извинения за использование скандального флага восходящего солнца в мобильной версии PUBG

Межсайтовый скриптинг X-XSS-Protection отключен из-за ошибки в Microsoft Edge

В патче Escape From Tarkov 0.9 добавлен первый босс - The Dealbreaker

Уязвимость при записи в Adobe Acrobat и Reader's может допустить выполнение кода

Разблокировки загрузчика Huawei больше не доступны с 23 июня г

Обновление Microsoft ToDo V1.35 представляет функции Star и совместной работы для IOS и Android

Переключатель QL служебной программы DNSLint от Microsoft может разрешить загрузку удаленных файлов

SUSE Linux Enterprise 15 устраняет барьеры между OpenSUSE и SLE

Epic отвечает на обвинения в мошенничестве в Fortnite Summer Skirmish