Hjem > Cyber ​​Nyheder > Seneste Luckymouse -trojaner mod regeringens institutioner
CYBER NEWS

Nyeste Luckymouse Trojan sæt mod Statsinstitutioner

Sikkerhedseksperter rapporterer, at LuckyMouse Hacking gruppe har udtænkt en ny ondsindet trussel, der bruger en meget avanceret infiltration adfærdsmønster. Denne nye LuckyMouse Trojan har evnen til at inficere højt profilerede netværk og anses som en væsentlig infektion.




Luckymouse trojanske angreb i fortiden

Den LuckyMouse hacking gruppe og dens vigtigste våben kaldet LuckyMouse Trojan er en berygtet kriminel kollektiv, der er kendt for at forårsage stor effekt angreb kampagner. En af de mest genkendelige angreb, der involverer en tidligere iteration af LuckyMouse er i juni 2018 angreb. Gruppen lancerede et angreb mod et nationalt datacenter ligger i Centralasien. Den sikkerhed Forskerne opdagede, at de kriminelle var i stand til at få adgang til begrænsede netværk og dets offentlige ressourcer.

En sammensat adfærdsmønster observeret, hvilket var i stand til at omgå alle sikkerhedssystemer, der blev placeret og konfigureret til at afvise angreb. Ifølge rapporterne udgivet på det tidspunkt efter infektionen de sikkerhedseksperter udstillingsvindue, at det ikke vides, som er den vigtigste infiltration mekanisme. Der er mistanke om, at angrebene var gennem en inficeret dokument. Analytikerne var i stand til at erhverve dokumenter, der omfattede scripts udnytter den CVE-2017-118822 sårbarhed i Microsoft Office. Det menes, at interaktionen med det har ført til indsættelsen af ​​den oprindelige nyttelast dropper. Den rådgivende beskrivelse læser følgende:

Microsoft Office 2007 Service pakke 3, Microsoft Office 2010 Service pakke 2, Microsoft Office 2013 Service pakke 1, og Microsoft Office 2016 muligt for en hacker at køre vilkårlig kode i forbindelse med den aktuelle bruger ved ikke at korrekt håndtere objekter i hukommelsen, aka “Sårbarhed Microsoft Office defekt hukommelse”. Denne CVE-id er unikt fra CVE-2017-11.884.

Derfra på flere avancerede stealth beskyttelse moduler med henblik på at skjule infektion fra enhver sikkerhedstjenester:

  • En legitim remote desktop service, modul, som bruges til at indlæse en ondsindet DLL.
  • En DLL-fil, der lancerer LuckyMouse trojanske dekomprimeringsprogrammet.
  • Dekomprimeringsenheden instans.

Som følge den trojanske instans vil blive anvendt til de inficerede værter og hook til system processer og individuelle ansøgninger. Dette gør det muligt for kriminelle at udspionere ofrene og også omdirigere brugerne til falske login-sider, optage tastetryk og mus bevægelse og etc. I dette angreb observeret analytikerne, at de kriminelle var i stand til at injicere en URL, som resulterede i leveringen af ​​skadelig kode.

Slutresultatet er, at kinesiske hackere var i stand til at infiltrere et nationalt datacenter, af alle standarder dette opfattes som en kritisk risiko.

relaterede Story: Hakai Iot Botnet Løn krig mod D-Link og Huawei routere

Luckymouse trojanske Infektion Techniques

Vi har modtaget rapporter om en ny LuckyMouse Trojan instans, der synes at være en stærkt modificeret udgave af tidligere varianter.

Det menes, at gruppen stammer fra Kina, nye beviser på dette er det faktum, at stammerne gør brug af sikkerheds signaturer af et kinesisk selskab. Det er en udvikler af informationssikkerhed software baseret i Shenzhen. Ruten for infektion er en ondsindet NDISProxy. Selvom der kan være en lovlig software hackere har skabt deres egen version ved at bruge de digitale signaturer kapret fra virksomheden - både i deres 32 og 64-bit versioner. Efter opdagelsen af ​​hændelsen analytikerne rapporteret dette til virksomheden og CN-CERT.

Det fremgår, at den indledende fordeling af LuckyMouse Trojan og dens 32-bit versionen er startet i slutningen af ​​marts 2018. Det menes, at hackerne anvendes allerede inficerede netværk til at udbrede de trusler.

Der er flere metoder, som de kriminelle kan bruge til at sprede virus filer:

  • phishing e-mails - Hackerne kan konstruere meddelelser, der udgør som legitime meddelelser fra internettjenester eller websteder, de modtagende brugere kan bruge. De virus filer kan være direkte knyttet eller forbundet i kroppen indhold.
  • payload Carriers - Den ondsindede motor kan indlejres i forskellige former, såsom dokumenter (på en lignende måde til de tidligere angreb) eller anvendelse installatører. De LuckyMouse hackere kan kapre de legitime software installatører af kendte programmer, som slutbrugerne typisk bruger: systemværktøjer, kreativitet suiter og produktivitetsløsninger. De kan derefter fordeles på de forskellige steder, emails og andre midler.
  • Fildeling netværk - BitTorrent og andre lignende netværk, som ofte anvendes til at sprede pirat-indhold kan også bruges af hackere. De kan levere enten enkeltstående virus filer eller payload luftfartsselskaber.
  • Scripts - De tidligere angreb brugte et komplekst infektion mønster, der i sidste ende afhang af en endelig implementering script. Driverinstallationen kan kaldes af scripts, der kan enten integreres i forskellige applikationer eller tjenester eller forbundet gennem websider. I nogle tilfælde kan observeres skadelig adfærd via almindelige elementer såsom omdirigeringer, bannere, annoncer, pop-ups og etc.
  • Webbrowser Plugins - Skadelig web browser plugins kan programmeres af hackere med henblik på at sprede infektionen. De er som regel lavet kompatibel med de mest populære webbrowsere og uploades til de relevante arkiver. De gør brug af falske brugeranmeldelser og udvikleroplysninger sammen med en omfattende beskrivelse med henblik på at tvinge brugerne til at downloade dem. Ved installationen ofrene vil finde ud af, at deres indstillinger kan ændres med henblik på at omdirigere til en hacker-kontrolleret websted. Den LuckyMouse Trojan installeres automatisk.

Den Luckymouse Trojan Har en Advanced System Manipulation Engine

Efter installation af den inficerede NDIS-driveren setup filen vil kontrollere systemet og læg det korrekte version - 32-bit eller 64-bit. Ligesom regelmæssige installationer opsætningen motor vil logge trinene i en logfil. Når signeret driver er udsendt til systemet vil dette også registrere virus kode i Windows-registreringsdatabasen i krypteret form. Det næste skridt er oprettet af tilsvarende autotart tjenester - den LuckyMouse Trojan vil blive startet automatisk, når computeren er tændt. ADVARSEL! i nogle tilfælde kan det hindre adgangen til den menu opsving.

Det vigtigste mål er at inficere lsass.exe systemet proces hukommelse. Dette er den vigtigste proces af det operativsystem, der er ansvarlig for at håndhæve den foruddefinerede sikkerhedspolitik. Den er ansvarlig for flere processer, herunder følgende: bruger verificering, ændringer adgangskode, skabelse access tokens, ændringer af Windows sikkerhed log og etc det.

Den ondsindede netværk driver vil derefter indstille kommunikationskanal til RDP-port 3389 hvilken tillader hackere at oprette en sikker forbindelse til de kompromitterede værter. Ondsindede handlinger omfatter følgende:

  • Download og Udførelse af anden malware - De inficerede computere kan bestilles i download og køre en fil valgt af de kriminelle controllere.
  • Command Execution - Det LuckyMouse Trojan kan udføre kommandoer med både bruger- og administratorrettigheder.
  • Overvågning - De kriminelle kan overvåge ofrene og udspionere deres aktiviteter på alle tidspunkter.
  • Indled netværksangreb - Den LuckyMouse trojanske koden kan anvendes til at sprede de stammer yderligere. Dette kan gøres enten automatisk eller manuelt udløser penetration test kommandoer.

LuckyMouse trojanske Mål og hændelser

Den sikkerhed analytikere har opdaget, at angrebene bærer LuckyMouse Trojan synes primært rettet mod de asiatiske statslige institutioner. Det faktum, at virus prøver er blevet tilpasset til at følge netop dette adfærdsmønster antyder, at en betydelig planlægning der er foretaget forud for lanceringen. Der er ingen klare oplysninger om hensigterne hos hackerne men det er spekuleret at de kan være politisk motiveret.




Det er klart, at den kriminelle kollektiv er meget erfarne og at fremtidige kampagner og opdaterede virus kode er tilbøjelige til at ske. En af de bekymrende fakta er, at alle LuckyMouse angreb hidtil er blevet identificeret efter infektion. Det betyder, at der har været en forsinkelse mellem angrebene og deres identifikationer. Da hver version er opdateret med en endnu mere avanceret kodebase systemadministratorer bliver nødt til at være endnu mere forsigtig, når tilsyn deres systemer.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig