CYBER NEWS

Hammertoss Backdoor Malware russiske Group APT29 Forklaret

NavnHammertoss
TypeBackdoor Malware, Malware belastning
Kort beskrivelseHammertoss beskæftiger legit webtjenester, bruger snigende algoritmer og er vedholdende til retsmedicinske forskere’ opdagelse.
Værktøj DetectionHent Anti-Malware værktøj, For at se om dit system er blevet påvirket af Hammertoss

En ny russisk malware er dukket på nettet. Det kaldes Hammertoss og er en malware stamme med bagdør kapaciteter. Hammertoss tilskrives en russisk gruppe kaldet APT29 og er blevet opdaget af forskere på FireEye Inc. De er blevet nøje APT29 aktiviteter og endda mistanke om, at hackere gruppe har noget at gøre med den russiske regering.

p16_0000

Hammertoss Attack Stadier Forklaret

Hammertoss angreb består af fem faser og påvirker erhvervskunder. Den malware stykke er ganske sofistikeret, og dens skabere har beroliget at dække deres spor i den stealthiest måde. Forskerne på FireEye har identificeret en række teknikker. Her er, hvordan ondsindet værktøj opererer:

    1. Anvender legit webservere - Twitter, GitHub, at hente kommandoer.

    2. Algoritmer initierende daglige og automatiserede Twitter håndtag.

    3. Anvender timede starter på en bestemt dato eller inden for en given periode, normalt ofrets arbejdsugen.

    4. Integrering billeder med kommandoer og krypterede data.

    5. Ved hjælp af en kompromitteret netværk til at uploade filer og udtrække oplysninger via cloud-tjenester.

Den Hammertoss operation starter med Twitter. Det er her, den malware først ser for instruktioner. Algoritmen genererer daglige Twitter håndtag. For at gøre dette, en basename anvendes, for eksempel, Mike, og tre CRC32 værdier baseret på den dato, der er skabt. Her er et eksempel på den basename - labMike.52b. URL'en vil være noget lignende hxxps://twitter.com/1abMike52b. Hvis en dags håndtag ikke er registreret eller fundet, samt selve URL, Hammertoss er indstillet til at vente til næste dag for at forsøge at forbinde med en anden greb endnu en gang. Kort sagt, den Hammertoss malware vil blande i ofrets miljø og kan forblive i dvale, indtil aktiveret.

Den Twitter Hashtag Forklaret

Hvis APT29 har registreret en bestemt dag håndtag, gruppen vil så tweet en URL og en hashtag. URL'en bruges til at dirigere Hammertoss til et websted, der har en eller flere billeder. Den hashtag selv bruges til at give en placering nummer og tegn til subjoining til en krypteringsnøgle til at dechifrere instruktionerne i billedet.

hashtag-tweet-hammertoss-malware

Den ondsindede tweet indeholder et hashtag med instruktioner til at udtrække krypteret data fra den beskadigede billedfil. De tegn, der skal anvendes til dekrypteringsprocessen er ’docto’, som ses på billedet, som den FireEye forskere hold.

APT29 Hackere Group. Hvem står bag det?

Ifølge forskerne på FireEye, APT29 er mest sandsynligt sponsoreret af den russiske regering. Have et kig på gruppens ofre og mål er nok til at gøre en sådan konklusion. Endvidere, koncernens ondsindede aktiviteter normalt sted i løbet af de officielle russiske helligdage. Tidszonen for deres angreb er normalt sat til TC +3 - tidszone for byer som Moskva og St. Petersborg. Tidsplanen og den samlede præstation af APT29 tale ud stram disciplin og sammenhæng, hvilket gør dem til en af ​​de bedste - og mest skræmmende hacking hold derude.

En af de mønstre, der adskiller gruppen fra andre hacking hold er anti-retsmedicinsk teknik, der anvendes til at forvirre retsmedicinske efterforskere og deres metoder. En anden snigende funktion findes i APT29 angreb er overvågningen af ​​ofrets forsøg på at vælte dem. Deres malware stykker er altid hurtigt udviklet takket være de modificerende værktøjer, de bruger til at sabotere afsløring.

For at opsummere, Hammertoss er designet til at forringe netværk Defenders evner og bestræbelser på at genkende Twitter-konti, der anvendes for kommando- og kontrolstrukturen operationer, forudse ondsindet netværkstrafik fra legitim aktivitet, og afdække de ondsindede nyttelast aktiveres og downloades af malware.

For fuldt ud at forstå, hvordan Hammertoss malware værker, have et kig på den rapport.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...