Zuhause > Cyber ​​Aktuelles > Neuester Luckymouse-Trojaner gegen Regierungsinstitutionen
CYBER NEWS

Neueste Luckymouse Trojan Set gegen Regierungsgebäude

Sicherheitsexperten berichten, dass die LuckyMouse Hacking Gruppe eine neue bösartige Bedrohung entwickelt hat, die ein hochentwickelte Infiltration Verhaltensmuster verwendet. Diese neue LuckyMouse Trojan hat die Fähigkeit, High-Profile-Netzwerke zu infizieren und eine kritische Infektion betrachtet.




Luckymouse Trojan Angriffe in der Vergangenheit

Die LuckyMouse Hacking Gruppe und ihre Hauptwaffe der LuckyMouse Trojan sind ein notorischer Verbrecher Kollektiv genannt, die für die Entstehung hochschlag Angriff Kampagnen bekannt ist. Einer der bekanntesten Angriffe eine frühere Iteration von LuckyMouse beteiligt ist der Juni 2018 Angriff. Die Gruppe startete einen Angriff gegen ein nationales Datenzentrum in Zentralasien. Die Sicherheits Forscher entdeckten, dass die Kriminellen der Lage waren, das eingeschränkte Netzwerk und seine Regierung Ressourcen zugreifen.

Ein komplexes Verhaltensmuster wurde beobachtet, die in der Lage war, alle Sicherheitssysteme zu umgehen, die gegeben und konfigurierten Angriffe abzuwehren. Nach den Berichten zu dem Zeitpunkt nach der Infektion freigesetzt präsentieren die Sicherheitsexperten, dass es nicht bekannt ist, welche der Hauptinfiltrationsmechanismus ist. Es wird vermutet, dass die Anschläge durch eine waren infiziertes Dokument. Die Analysten konnten Dokumente erwerben, die Skripte unter Ausnutzung der mitgelieferten CVE-2017-118822 Sicherheitsanfälligkeit in Microsoft Office. Es wird angenommen, dass die Interaktion mit ihm dem Einsatz des anfänglichen Payload dropper geführt hat. Die Beschreibung des Beratungs liest den folgenden:

Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, und Microsoft Office 2016 erlaubt es einem Angreifer indem sie nicht beliebigen Code im Kontext des aktuellen Benutzers ausgeführt werden, um richtig Objekte im Speicher verarbeiten, aka “Microsoft Office bezüglich Speicherbeschädigung”. Diese CVE-ID ist einzigartig von CVE-2017-11884.

Von dort auf mehreren fortgeschrittenen Stealth-Schutz Module, um die Infektion von irgendwelchen Sicherheitsdienste zu verstecken:

  • Ein legitimes Remote-Desktop-Service-Modul, welches verwendet wird, eine manipulierte DLL zu laden.
  • Eine DLL-Datei, die den LuckyMouse Trojan Dekompressor startet.
  • Die Dekompressor Instanz.

Als Ergebnis wird die Trojaner-Instanz in den infizierten Hosts eingesetzt werden und Systemprozesse anschließen und einzelne Anwendungen. Auf diese Weise können die Kriminellen auf die Opfer auszuspionieren und auch die Benutzer auf gefälschte Login-Seiten umleiten, Aufnahme der Tastenanschläge und Mausbewegungen und usw.. In diesem Angriff beobachteten die Analysten, dass die Kriminellen der Lage waren, eine URL zu injizieren, die in der Lieferung von bösartigem Code in Folge.

Das Endergebnis ist, dass chinesische Hacker waren in der Lage, eine nationale Rechenzentrum zu infiltrieren, von allen Standards wird dies als ein kritisches Risiko wahrgenommen.

ähnliche Geschichte: Hakai Iot Botnet Löhne Krieg gegen D-Link und Huawei Router

Luckymouse Trojan Infektion Techniques

Wir haben Berichte über eine neue LuckyMouse Trojan Instanz erhalten, die eine stark modifizierte Version von früheren Varianten zu sein scheint.

Es wird angenommen, dass die Gruppe aus China stammt, neuer Beweis dafür ist die Tatsache, dass die Stämme nutzen Sicherheitssignaturen von einem chinesischen Unternehmen. Es ist ein Entwickler von Software für Informationssicherheit mit Sitz in Shenzhen. Der Weg der Infektion ist ein bösartiges NDISProxy. Zwar gibt es eine legitime Software sein kann, hat der Hacker ihre eigene Version erstellt, indem die digitalen Signaturen von der Firma entführt mit - sowohl in ihrem 32 und 64-Bit-Versionen. Bei der Entdeckung des Vorfalls berichteten die Analysten dies für das Unternehmen und CN-CERT.

Es scheint, dass die anfängliche Verteilung des LuckyMouse Trojan und seine 32-Bit-Version in Ende März begonnen hat 2018. Es wird angenommen, dass der Hacker bereits infizierten Netzwerken verwendet, um die Bedrohungen zu propagieren.

Es gibt mehrere Methoden, mit denen die Kriminellen verwenden, um die Virus-Dateien zu verbreiten:

  • phishing-E-Mails - Der Hacker kann Nachrichten erstellen, die als legitime Mitteilungen von Internet-Diensten oder Websites darstellen, die die Aufnahme Benutzer verwenden könnten. Die Virus-Dateien können direkt angebracht oder in dem Körper Inhalt verknüpft.
  • Payload Carriers - Der bösartige Motor kann in verschiedenen Formen eingebettet werden wie Unterlagen (in ähnlicher Weise wie die vorhergehenden Angriffe) oder Anwendung Installateure. Der LuckyMouse Hacker kann die legitimen Software-Installateure von bekannten Anwendungen kapert, die Benutzer in der Regel Endanwendung: System-Utilities, Kreativität Suiten und Produktivitätslösungen. Sie können dann auf die verschiedenen Standorte verteilt werden, E-Mails und andere Mittel.
  • File-Sharing-Netzwerke - BitTorrent und ähnliche Netze, die häufig verwendet werden, Piraten Inhalt verbreiten können auch von den Hackern verwendet werden. Sie können entweder die Stand-alone-Virus-Dateien oder die Nutzlastträger liefern.
  • Scripts - Die bisherigen Angriffe verwendeten ein komplexes Infektionsmuster, das schließlich auf einer endgültigen Bereitstellung Skript abhing. Die Treiberinstallation kann durch Scripts aufgerufen werden, die in verschiedenen Anwendungen oder Dienste oder verbunden durch Webseiten integriert werden können entweder. In manchen Fällen kann schädliches Verhalten über gewöhnliche Elemente wie Umleitungen zu beachten, Banner, Anzeigen, Pop-ups und etc.
  • Web-Browser-Plugins - Malicious Web-Browser-Plugins kann von den Hackern, um so programmiert werden, um die Infektion zu verbreiten. Sie sind in der Regel kompatibel mit den meisten gängigen Web-Browsern und werden auf die entsprechenden Repositories hochgeladen. Sie nutzen gefälschte User-Bewertungen und Entwickler-Anmeldeinformationen zusammen mit einer ausführlichen Beschreibung, um die Benutzer dazu zu bringen, sie herunterzuladen. Nach der Installation finden die Opfer, dass ihre Einstellungen könnten, um einen Hacker-gesteuerte Website zu umleiten geändert werden. Der LuckyMouse Trojan wird automatisch installiert.

Der Luckymouse Trojan verfügt über ein fortschrittliches System-Manipulation Engine

Bei der Installation der infizierten NDIS-Treiber der Setup-Datei wird das System überprüfen und die entsprechende Version laden - 32-Bit oder 64-Bit. Genau wie regelmäßige Installationen werden die Setup-Engine die Schritte in einem Logfile einloggen. Wenn der signierte Treiber auf das System bereitgestellt wird dies registriert auch den Viruscode in die Windows-Registrierung in verschlüsselter Form. Der nächste Schritt ist die eingerichtet autotart Dienste entsprechender - der LuckyMouse Trojan wird automatisch gestartet, sobald der Computer eingeschaltet wird. WARNUNG! in einigen Fällen kann es Zugriff auf das Recovery Menü deaktivieren.

Das Hauptziel ist es, die lsass.exe System Prozessspeicher zu infizieren. Dies ist der Hauptprozess des Betriebssystems, die für die Durchsetzung der vordefinierten Sicherheitspolitik zuständig ist. Es ist verantwortlich für mehrere Prozesse einschließlich der folgenden: Benutzerüberprüfung, Kennwortänderungen, Zugriffstoken Schöpfung, Änderungen des Sicherheitsprotokolls von Windows und usw..

Der bösartige Netzwerktreiber wird dann den Kommunikationskanal an RDP-Port 3389 was der Hacker ermöglicht eine sichere Verbindung zu den kompromittierten Hosts einzurichten. Böswillige Aktionen umfassen die folgende:

  • Herunterladen und Ausführen weiterer Malware - Die infizierten Computer können durch die kriminellen Controller gewählt in das Herunterladen und Ausführen beliebigen Datei bestellt werden.
  • Befehlsausführung - Der LuckyMouse Trojan können Befehle mit ausführen sowohl Benutzer- und Administratorrechte.
  • Überwachung - Die Kriminellen können die Opfer überwachen und jederzeit auf ihre Aktivitäten auszuspionieren.
  • Initiieren Netzwerkangriffen - Der LuckyMouse Trojan-Code kann verwendet werden, um die Stämme zu verbreiten weiter. Dies kann entweder automatisch oder durch manuelle Auslösung Penetrationstests Befehle durchgeführt werden.

LuckyMouse Trojan Tore und Vorkommnissen

Die Sicherheitsexperten haben festgestellt, dass die Angriffe der LuckyMouse Trojan tragen scheinen in erster Linie asiatische staatlichen Institutionen zum Ziel. Die Tatsache, dass die Virusproben angepasst wurden genau dieses Verhaltensmuster folgen läßt vermuten, dass erhebliche Planung hat zum Start vor unternommen. Es gibt keine klaren Informationen über die Absichten des Hacker aber es wird spekuliert, dass sie politisch motiviert werden können,.




Es ist klar, dass die kriminelle kollektiven sehr erfahrene und dass zukünftige Kampagnen und aktualisierte Virencode ist wahrscheinlich passieren. Eine der beunruhigenden Tatsachen ist, dass alle LuckyMouse Angriffe werden bisher nach der Infektion identifiziert. Dies bedeutet, dass es eine Verzögerung zwischen den Anschlägen und den Identifikationen gewesen. Da jede Version mit einem noch fortgeschritteneren Code-Basis aktualisiert die Systemadministratoren müssen noch vorsichtig sein, wenn ihre Systeme zu überwachen.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau