| Naam | Hammertoss |
| Type | backdoor Malware, malware stam |
| Korte Omschrijving | Hammertoss telt legit webdiensten, maakt gebruik van stealthy algoritmen en is persistent forensisch onderzoekers’ opsporing. |
| Detectie-instrument | Download Anti-Malware Tool, Om te zien of uw systeem is getroffen door Hammertoss |
Een nieuwe Russische malware heeft het web opgedoken. Het wordt Hammertoss genoemd en is een malware-stam met backdoor-mogelijkheden. Hammertoss wordt toegeschreven aan een Russische groep genaamd APT29 en is ontdekt door onderzoekers van FireEye Inc. Ze zijn nauw toezicht op de activiteiten APT29's en zelfs vermoeden dat de groep van de hackers 'iets te maken heeft met de Russische regering.
Hammertoss Attack Stages Explained
Hammertoss De aanval bestaat uit vijf etappes en invloed zakelijke klanten. De malware stuk is heel geraffineerd, en de makers hebben gerustgesteld hun sporen in de stealthiest manier te dekken. De onderzoekers van FireEye hebben een scala van technieken geïdentificeerd. Hier is hoe de kwaadaardige gereedschap werkt:
-
1. Gebruikmakend van legit webservers - Twitter, GitHub, opdrachten opvragen.
2. Algoritmes dagelijkse initiëren en geautomatiseerde Twitter handgrepen.
3. Gebruikmakend van getimede begint op een bepaalde datum of binnen een bepaalde periode, meestal werkweek van het slachtoffer.
4. Inbedden van foto's met commando's en versleutelde gegevens.
5. Met behulp van een gecompromitteerd netwerk om bestanden te uploaden en te extraheren informatie via cloud-diensten.
De Hammertoss operatie begint met Twitter. Dit is waar de malware eerste zoekt instructies. Het algoritme genereert dagelijks Twitter handgrepen. Om dat te doen, een basename wordt gebruikt, bijvoorbeeld, Mike, en drie CRC32 waarden op basis van de datum zijn gecreëerd. Hier is een voorbeeld van de basename - labMike.52b. De URL ziet er ongeveer als hxxps zijn://twitter.com/1abMike52b. Als handvat een dag niet is geregistreerd of gevonden, evenals de URL zelf, Hammertoss is ingesteld om te wachten tot de volgende moment om opnieuw te verbinden met een ander handvat. Kort gezegd, de Hammertoss malware zal mengen in de omgeving van het slachtoffer en kan slapende blijven tot geactiveerd.
De Twitter Hashtag Explained
Als APT29 een bepaalde dag handvat heeft geregistreerd, de groep zal dan tweet van een URL en een hashtag. De URL wordt gebruikt om direct Hammertoss naar een website die een of meerdere foto's heeft. Hashtag zelf wordt gebruikt om een locatienummer en tekens voor subjoining een coderingssleutel de instructies ontcijferen binnen het beeld.
De kwaadaardige tweet bevat een hashtag met instructies om versleutelde gegevens te extraheren uit de beschadigde beeldbestand. De personages worden gebruikt voor de decodering proces 'docto', zoals zichtbaar op de door de FireEye onderzoekers beeld Het team.
APT29 Hackers Group. Wie er achter zit?
Volgens de onderzoekers van FireEye, APT29 is het meest waarschijnlijk gesponsord door de Russische regering. Na een blik op slachtoffers en doelen van de groep is genoeg om een dergelijke conclusie te maken. Bovendien, kwaadaardige activiteiten van de groep vinden meestal plaats tijdens de officiële Russische feestdagen. De tijdzone voor aanvallen wordt meestal vastgesteld op TC +3 - De tijdzone voor steden als Moskou en Sint-Petersburg. Het tijdschema en de algemene prestaties van APT29 spreken strakke discipline en coherentie, waardoor ze een van de beste - en meest angstaanjagende hacking teams die er zijn.
Een van de patronen die de groep van andere hacken teams verschilt de anti-forensische techniek voor forensisch onderzoekers en toepassingsmethoden baffle. Een ander sluipende functie gevonden in APT29 aanvallen is het toezicht op de inspanningen van het slachtoffer om hen omver te werpen. Hun malware stukken worden altijd snel ontwikkeld dankzij de wijziging van tools die ze gebruiken om detectie te saboteren.
Samenvattend, Hammertoss is ontworpen om vaardigheden en inspanningen om de Twitter-accounts gebruikt voor Command and Control operaties herkennen netwerk verdedigers schaden, voorzie kwaadaardige netwerkverkeer van legitieme activiteiten, en ontdek de kwaadaardige payloads geactiveerd en gedownload door de malware.
Om volledig te begrijpen hoe de Hammertoss malware werken, eens een kijkje op de rapport.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: