Navn | Hammertoss |
Type | Backdoor Malware, Malware belastning |
Kort beskrivelse | Hammertoss beskæftiger legit webtjenester, bruger snigende algoritmer og er vedholdende til retsmedicinske forskere’ opdagelse. |
En ny russisk malware er dukket på nettet. Det kaldes Hammertoss og er en malware stamme med bagdør kapaciteter. Hammertoss tilskrives en russisk gruppe kaldet APT29 og er blevet opdaget af forskere på FireEye Inc. De er blevet nøje APT29 aktiviteter og endda mistanke om, at hackere gruppe har noget at gøre med den russiske regering.
Hammertoss Attack Stadier Forklaret
Hammertoss angreb består af fem faser og påvirker erhvervskunder. Den malware stykke er ganske sofistikeret, og dens skabere har beroliget at dække deres spor i den stealthiest måde. Forskerne på FireEye har identificeret en række teknikker. Her er, hvordan ondsindet værktøj opererer:
-
1. Anvender legit webservere - Twitter, GitHub, at hente kommandoer.
2. Algoritmer initierende daglige og automatiserede Twitter håndtag.
3. Anvender timede starter på en bestemt dato eller inden for en given periode, normalt ofrets arbejdsugen.
4. Integrering billeder med kommandoer og krypterede data.
5. Ved hjælp af en kompromitteret netværk til at uploade filer og udtrække oplysninger via cloud-tjenester.
Den Hammertoss operation starter med Twitter. Det er her, den malware først ser for instruktioner. Algoritmen genererer daglige Twitter håndtag. For at gøre dette, en basename anvendes, for eksempel, Mike, og tre CRC32 værdier baseret på den dato, der er skabt. Her er et eksempel på den basename - labMike.52b. URL'en vil være noget lignende hxxps://twitter.com/1abMike52b. Hvis en dags håndtag ikke er registreret eller fundet, samt selve URL, Hammertoss er indstillet til at vente til næste dag for at forsøge at forbinde med en anden greb endnu en gang. Kort sagt, den Hammertoss malware vil blande i ofrets miljø og kan forblive i dvale, indtil aktiveret.
Den Twitter Hashtag Forklaret
Hvis APT29 har registreret en bestemt dag håndtag, gruppen vil så tweet en URL og en hashtag. URL'en bruges til at dirigere Hammertoss til et websted, der har en eller flere billeder. Den hashtag selv bruges til at give en placering nummer og tegn til subjoining til en krypteringsnøgle til at dechifrere instruktionerne i billedet.
Den ondsindede tweet indeholder et hashtag med instruktioner til at udtrække krypteret data fra den beskadigede billedfil. De tegn, der skal anvendes til dekrypteringsprocessen er ’docto’, som ses på billedet, som den FireEye forskere hold.
APT29 Hackere Group. Hvem står bag det?
Ifølge forskerne på FireEye, APT29 er mest sandsynligt sponsoreret af den russiske regering. Have et kig på gruppens ofre og mål er nok til at gøre en sådan konklusion. Endvidere, koncernens ondsindede aktiviteter normalt sted i løbet af de officielle russiske helligdage. Tidszonen for deres angreb er normalt sat til TC +3 - tidszone for byer som Moskva og St. Petersborg. Tidsplanen og den samlede præstation af APT29 tale ud stram disciplin og sammenhæng, hvilket gør dem til en af de bedste - og mest skræmmende hacking hold derude.
En af de mønstre, der adskiller gruppen fra andre hacking hold er anti-retsmedicinsk teknik, der anvendes til at forvirre retsmedicinske efterforskere og deres metoder. En anden snigende funktion findes i APT29 angreb er overvågningen af ofrets forsøg på at vælte dem. Deres malware stykker er altid hurtigt udviklet takket være de modificerende værktøjer, de bruger til at sabotere afsløring.
For at opsummere, Hammertoss er designet til at forringe netværk Defenders evner og bestræbelser på at genkende Twitter-konti, der anvendes for kommando- og kontrolstrukturen operationer, forudse ondsindet netværkstrafik fra legitim aktivitet, og afdække de ondsindede nyttelast aktiveres og downloades af malware.
For fuldt ud at forstå, hvordan Hammertoss malware værker, have et kig på den rapport.