Sikkerhedsforskere har opdaget, at et igangværende angreb udføres af en hackinggruppe kaldet StrongPity ved hjælp af spywarefiler. Resultaterne viser, at denne kampagne ser ud til at være fokuseret mod kurdiske mål, der er til stede i disse lande.
Tyrkiet og Syrien er værter, der er målrettet mod erfarne StrongPity-hackere, der bruger modificeret spyware
Spyware, der bruges som infiltrationsværktøj, er en ændret version af tidligere registreret malware. De inkluderer nu nyere funktionalitet og kodekanaler, der afspejler det faktum, at de kriminelle opleves.
Hackerne har fokuseret på at forudvælge deres mål, så de repræsenterer computere og netværk, som ejes og bruges af kurderne. Dette viser tydeligt, at denne kampagne er politisk motiverede. Tidsstemplerne, der er integreret i de optagne filer, indikerer, at de falder sammen Oktober 1 2019. Dette kan henvise til to ting — kompilationsdatoen for værktøjerne eller begyndelsen af Opertion Peace Spring — de tyrkiske militære handlinger i Syrien, der brugte dette kodenavn. Alt dette viser, at det kan være muligt, at kampagnen endda er statssponsoreret.
Infektionerne udføres ved at forudvælge målserverne og derefter starte en farlig trojansk virus mod dem. De ændrede versioner af trojanerne leveres gennem et kaldet angreb vandhul. De udføres ved at vælge ofte besøgte websteder, der vil blive hacket og omdirigeret til en hacker-kontrolleret destinationsside. Dette vil udløse download af en ansøgning bundt eller direkte eksekverbare filer. Disse filer er digitalt underskrevet med selvsignerede certifikater, der vises som en legitim software. Krypteringsnøgler tilføjes også for at skjule dropperne fra almindelige sikkerhedsscanninger. Eksempler på inficerede softwarepakker inkluderer eksempler som følgende:
- Arkiver programmer — 7-Lynlås og WinRAR
- Sikkerhedssoftware — McAfee Security Scan Plus
- Program til gendannelse af fil — Gentage
- Applikationer til fjernforbindelse — TeamViewer
- Chat-applikationer — WhatsApp
- System Utilities — Piriform CCleaner, CleverFiles, Disk Drill, DAEMON Tools Lite, Glary Utilities og RAR Password Unlocker
Når dropperne udføres, vil den ondsindede kode starte og interagere med de hacker-kontrollerede servere ved at hente den anden fase af spyware-værktøjerne fra dem.
StrongPity-hackere inkluderer avancerede funktioner i spyware
Når ofrene har brugt de relevante spyware-filer, vil dette føre til implementering af 4 filer: den legitime softwareopsætningsfil, launcher og dens relevante vedvarende installationskomponent, datakapteringskomponenten og en filsøger.
Trojanen indlæser først den faktiske legitime softwareinstallation, så brugerne af offeret ikke ville mistænke for potentielt farlige handlinger. Men i mellemtiden vil viruskoden startes i baggrunden. Malware-komponenterne leveres i krypteret form og ekstraheres, når de skal åbnes i sektioner, der vil beskytte dem mod potentielle sikkerhedsscanninger.
Start-komponenten af spyware leveres til SYSTEM-mappen herfra starter den en egen tjeneste. De indsamlede prøver viser, at malware vil udvise en kørende operativsystemtjeneste som f.eks Print Spooler eller Registreringsvedligeholdelsesserver. En relateret handling er installationen af truslen i en vedvarende tilstand. Dette betyder, at viruskoden og alle relaterede komponenter automatisk startes, når computeren er tændt.
Den dataindsamling modulet kører sammen med filsøger komponent for at finde filer, der kan betragtes som følsomme af hackere. Dette inkluderer både personlige brugeroplysninger og maskindata, som vil blive sendt til de kriminelle ved hjælp af en netværksforbindelse.
I betragtning af disse muligheder er det meget muligt, at koden kan ændres til at omfatte anden funktionalitet, såsom følgende:
- Yderligere malware installation — Under infiltrationsprocessen kan spyware-værktøjerne programmeres til at levere og installere malware-kode på tværs af alle større viruskategorier. Dette kan omfatte fuldt ud kapabel Trojans der er designet til at overhale kontrol med offermaskinerne og stjæle følsomme data indeholdt i dem. Webtrusler bærer ofte cryptocurrency minearbejdere også - de vil downloade og køre en række komplekse ydelsesintensive opgaver. De drager fordel af de vigtigste hardwarekomponenter: CPU, Hukommelse, Grafik, Harddiskplads, GPU og netværkshastighed. For hver rapporteret afsluttet og rapporteret opgave vil hackerne modtage cryptocurrency som en belønning. En anden mulig malware, der kan installeres, ville være en ransomware virus — de vil behandle brugerdata i henhold til en indbygget liste over målfiltypeudvidelser. De krypteres, hvilket gør de utilgængelige. De bliver derefter udpresset til at betale et dekrypteringsgebyr.
- System Ændringer — Kriminelle kan også implementere avanceret systemmanipulation inklusive ændring af konfigurationsfiler og Windows-registerændringer. Dette kan gøre det umuligt at starte visse tjenester og kan også føre til uventede fejl og større systemproblemer.
- botnet Rekruttering — I nogle tilfælde kan de forurenede værter rekrutteres til et verdensomspændende netværk af tilsluttede computere. Deres kollektive magt kan udnyttes til store angreb, der kan koncentreres om en enkelt målcomputer. Den mest almindelige type angreb er distribueret denial-of-service, kampagner, der nedtager målwebstederne.
Sådanne målrettede kampagner forventes at fortsætte, da avancerede hackinggrupper er politisk motiverede og bruger forundersøgelse af de tilsigtede offernetværk.