De kriminelle kollektiver bliver aktive mod computernetværk på verdensplan. Eksperter har opdaget en ny bølge af angreb, der bliver orkestreret af bitterhed hackere mod forskellige computere placeret i Asien udnytte PLAINTEE og DDKONG malware familier. Denne gruppe har tidligere været kendt for at skabe brugerdefinerede trojanske heste i målrettede angreb mod organisationer.
Opdagelsen af de bitterhed Hackere og deres PLAINTTEE og DDKONG Malware
Målrettede hackerangreb er blevet en af de farligste taktik i de sidste to år. De kan have endnu mere skadelige konsekvenser, da de oftest er afhængige af sikkerhedshuller og edb-infektioner ved hjælp af brugerdefineret kode eller sofistikerede trojanske stammer. Dette er grunden til, at de kan være langt mere ødelæggende end almindelige virusinfektioner, herunder dem med ransomware.
Den kriminelle kollektiv blev opdaget efter en analyse af en trussel kendt som KHRAK Trojan. Det blev brugt i et sofistikeret angreb i august 2017 mod computerbrugere i Cambodja. Den vigtigste fordeling metode var brugen af inficerede Microsoft Word-dokumenter, der bruges social engineering taktik til at inficere så mange brugere som muligt. Når de indbyggede makroer (scripts) aktiveres den indbyggede motor vil lancere en download-kommando, der henter resten af virus. Sikkerheden analyse viser, at netværksanmodninger bruge falsk DropBox domæne adresse, som et trick bruges til at forhindre systemadministratorer og automatiserede forsvar modforanstaltninger i at registrere mistænkelige transaktioner.
Efter sin installation det vil nedsætte en Trojan eksempel som forbindes til en hacker-kontrolleret server. Dette gør det muligt for bitterhed hackere at udspionere ofrene, implementere yderligere trusler og også overtage kontrollen af maskinerne på et givet tidspunkt.
Den KHRAK Trojan er en vigtig brik i puslespillet, da det blev konstateret, at en lignende strategi i øjeblikket betjenes mod mål i Asien. Den måde, de infektioner har vist, at de samme aktører står bag de igangværende angreb. Rapporterne viser, at det kollektive er rettet mod Singapore og Cambodja.
Den bitterhed Hackere Leverage PLAINTTEE og DDKONG Malware Against asiatiske Mål
Angrebene igen bruge email spam-meddelelser, som den primære metode til fordeling. Rapporterne viser, at bitterhed hackere bruger elementer fra nyhedsartikler, der primært fokus på politiske nyheder og nutidige begivenheder. Dette giver eksperterne en grund til at tro, at angriberne er rettet primært politiske enheder.
En af de farligste karakteristika for de e-mails er, at de er vært på legitim sidder, herunder dem, der er arrangeret af Cambodja regering og sociale netværk, herunder Facebook. Under analysen notere sikkerhed specialister, at nogle af de KHRAT Trojan-kommandoer og servere bliver brugt. Der er to forskellige klynger (navngivet “Cluster A” og “Cluster B”) at udnytte separate phishing strategier. Dette trin udføres for at forøge infektionen forholdet.
DDKONG Malware Capabilities
Koden analyse af DDKONG malware viser, at de tidligste versioner af det dateres tilbage til oktober 2017. Dette viser, at det er meget muligt, at virus kode kan have været delt med andre grupper eller hackere.
DDKong består af tre dele: ServiceMain, Rundll32Call og DllEntryPoint. Når den første del eksekveres det vil indlæse sig selv som en service og derefter starte det andet modul. Dette gøres for at gøre det muligt for en vedholdende installation. Lignende trusler ændre systemet ved at deaktivere visse recovery menuer og tilstande og gøre virussen starte automatisk, når computeren er startet. Dette gør manuel fjernelse bruger meget vanskeligt.
Den Rundll32Call Funktionen starter en tjeneste skærm, der sikrer, at kun en enkelt forekomst kører ad gangen. Det tredje modul leveres i en kodet form og afkodet live på systemet, når de to tidligere moduler er lykkedes at køre. Dette trin er nødvendigt for at forhindre sikkerhedssoftware fra at bruge signatur-baserede scanninger til at opdage den endelige malware. Den endelige modul (DllEntryPoint) skaber en sikker forbindelse til en hacker-kontrolleret server, som bruges til at indberette infektioner. Det giver også hackere til at installere andre trusler, udspionere ofrene og overtage kontrollen af maskinerne.
PLAINTEE Malware Capabilities
Den PLAINTEE malware er en sofistikeret trussel, der har vist sig at bruge en brugerdefineret UDP-protokollen til at kommunikere med de hackere. Ligesom DDKONG det bruger phishing e-mails til den indledende infektion og så snart malware gør sin vej ind på klientmaskinerne det vil begynde sin indbyggede adfærdsmønster.
Koden analyse af de tilfangetagne stammer viser, at de første tiltag, som truslen er relateret til Registry Windows. Den virus installerer sig selv som en vedvarende trussel ved at skjule sig selv som et “Microsoft audio” service. Det skaber en ny mappe post, der udgør som en komponent, der hører til operativsystemet. Efter denne et system tjeneste skærm kaldes som overvåger og sikrer, at kun en enkelt forekomst kører ad gangen.
Det næste skridt er at udføre en høst af data motor, der bruges til at genereres entydig identifikation bruger. Listen over de indsamlede værdier indeholder følgende oplysninger:
- Processor Specifikationer & Installeret hukommelse
- Bundkort og installerede komponenter
- Internationale indstillinger
- Bruger-Set Operating System Værdier
Ligesom DDKONG malware netop denne trussel bruger også en brugerdefineret sikkerhedsprotokol at kommunikere med hacker-kontrollerede servere. Det høstede sendes automatisk og et svar og anmodning sekvens er etableret. De observerede interaktioner signalere, at hackere kan bruge forskellige kommandoer. Samt at hente listen over følsomme data forbindelsen kan bruges til at implementere yderligere trusler.
Den gennemførte analyse afslører, at motoren også kan hente listen over kørende programmer og tjenester, samt de tilgængelige netværksforbindelser. Dette kan bruges til at implementere yderligere trusler, overtage kontrollen over deres maskiner og udspionere brugerne i realtid.
Konsekvenserne af PLAINTTEE og DDKONG malwareinfektioner Ved rancor Hackere
De igangværende angreb, der kommer fra bitterhed hackere tilsyneladende udelukkende være rettet mod det sydøstlige Asien. Det er meget sandsynligt, at de kommer fra et land beliggende i dette område, da de bruger en sofistikeret social engineering-baserede phishing. En af de farligste aspekter af truslen er, at det bruger brugerdefinerede protokoller, dette undviger både påvisning af de malware-trusler samt ved sikkerhedssoftware og også netværksanalyse.
Analysen konklusion bekræfter endnu engang, at komplekse stammer som denne er særligt farlige. Undersøgelsen fortsætter som de sikkerhedseksperter fortsat overvåge malware landskab.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: