Name | Hammertoss |
Art | Backdoor Malware, Malware-Stamm |
kurze Beschreibung | Hammertoss beschäftigt legit Web-Services, verwendet schleich Algorithmen und ist für forensische Forscher persistent’ Entdeckung. |
Eine neue russische Schädling hat die Web aufgetaucht. Es heißt Hammertoss und ist ein Malware-Stamm mit Backdoor-Fähigkeiten. Hammertoss ist mit einer russischen Gruppe namens APT29 zugeschrieben und wurde von Forschern an FireEye Inc entdeckt worden,. Sie haben genau verfolgt APT29 Aktivitäten und vermuten sogar, dass die Hacker-Gruppe hat etwas mit der russischen Regierung zu tun.
Hammertoss Angriff Stages erklärt
Hammertoss Angriff besteht aus fünf Stufen und wirkt sich Firmenkunden. Das Malware-Stück ist ziemlich anspruchsvoll, und seine Schöpfer haben beruhigt ihre Spuren in der stealthiest Weise zu decken. Die Forscher am FireEye haben eine Reihe von Techniken identifiziert. Hier ist, wie das bösartige Tool arbeitet:
-
1. Der Einsatz legit Webserver - Twitter, GitHub, abrufen Befehle.
2. Algorithmen Einleitung tägliche und automatisierte Twitter Griffe.
3. Der Einsatz zeitlich beginnt zu einem bestimmten Zeitpunkt oder innerhalb eines bestimmten Zeitraums, in der Regel die Arbeitswoche des Opfers.
4. Einbetten von Bildern mit Befehlen und verschlüsselten Daten.
5. ein geschwächtes Netzwerk Verwenden von Dateien hochladen und Informationen über Cloud-Services zu extrahieren.
Der Hammertoss Betrieb beginnt mit Twitter. Dies ist, wo zuerst die Malware für Anweisungen sieht. Der Algorithmus erzeugt täglich Twitter Griffe. Um das zu tun, ein Basisnamen verwendet wird, beispielsweise, Mike, und drei CRC32-Werte basierend auf dem Datum erstellt. Hier ist ein Beispiel für die Basisnamen - labMike.52b. Die URL wird so etwas wie hxxps sein://twitter.com/1abMike52b. Wenn ein Griff Tag nicht registriert ist oder gefunden, sowie die URL selbst, Hammertoss gesetzt ist, zu warten, bis am nächsten Tag noch einmal zu versuchen, mit einem anderen Griff zu verbinden. Kurz gesagt, die Hammertoss Malware wird in der Umgebung des Opfers mischen und kann ruhend bleiben, bis aktiviert.
Die Twitter-Hashtag erklärt
Wenn APT29 hat einen Tag Handle insbesondere registriert, die Gruppe wird dann tweet eine URL und einen Hashtag. Die URL wird verwendet Hammertoss auf eine Website zu lenken, die ein oder mehrere Bilder hat. Der Hashtag selbst wird verwendet für subjoining zu einem Verschlüsselungsschlüssel einer Speicherplatznummer und Zeichen zur Verfügung zu stellen Sie die Anweisungen innerhalb des Bildes zu entschlüsseln.
Der bösartige Tweet enthält einen Hashtag mit Anweisungen verschlüsselten Daten aus der beschädigten Image-Datei zu extrahieren. Die Zeichen für den Entschlüsselungsprozess verwendet werden sollen 'docto', wie sichtbar auf dem Bild von der FireEye Forscher-Team zur Verfügung gestellt.
APT29 Hacker-Gruppe. Wer steckt dahinter?
Nach Angaben der Forscher bei FireEye, APT29 wird höchstwahrscheinlich von der russischen Regierung gesponserten. einen Blick auf die Opfer und Ziele der Gruppe zu haben, ist genug einen solchen Schluss zu machen. Weiter, die bösartige Aktivitäten der Gruppe in der Regel stattfinden während der offiziellen russischen Feiertage. Die Zeitzone für ihre Angriffe ist in der Regel bei TC +3 - Die Zeitzone für Städte wie Moskau und Sankt Petersburg. Der Zeitplan und die Gesamtleistung von APT29 sprechen strikte Disziplin und Kohärenz, das macht sie zu einer der besten - und gruseligsten Hacking-Teams da draußen.
Eines der Muster, die die Gruppe von anderen Hacking Teams unterscheidet, ist die Anti-forensischer Technik verwendet forensischer Ermittler und ihre Methoden baffle. Ein weiteres Merkmal verstohlen in APT29 Angriffe gefunden ist die Überwachung der Bemühungen der Opfer, sie zu stürzen. Ihre Malware-Stücke sind immer schnell entwickelt dank der Modifikation Werkzeuge, die sie verwenden Erkennung zu sabotieren.
Zusammenfassend, Hammertoss wurde entwickelt, um Netzwerkabwehr Fähigkeiten und Bemühungen beeinträchtigen Twitter-Konten für Command and Control-Operationen verwendet zu erkennen, voraussehen böswillige Netzwerkverkehr von legitimen Tätigkeit, und aufzudecken die bösartigen Payloads aktiviert und von der Malware heruntergeladen.
Um vollständig zu verstehen, wie die Hammertoss Malware Werke, haben einen Blick auf die Bericht.