Die kriminellen Kollektive sind immer aktiv gegen Computer-Netzwerke weltweit. Experten haben eine neue Welle von Angriffen entdeckt, die in Asien von dem Rancor Hacker gegen verschiedene Computer orchestriert werden, um die PLAINTEE und DDKONG Malware-Familien nutzen. Diese Gruppe wurde für das Erstellen von benutzerdefinierten Trojanern in gezielten Angriffen gegen Organisationen bisher bekannten.
Entdeckung der Rancor Hacker und ihre PLAINTTEE und DDKONG Malware
Gezielte Hacker-Angriffe haben eine der gefährlichsten Taktik in den letzten zwei Jahren geworden. Sie können noch mehr schädliche Folgen haben, da sie oft die meisten verlassen sich auf Sicherheitslücken und Computer-Infektionen benutzerdefinierten Code oder anspruchsvolle Trojan-Stämmen unter Verwendung von. Dies ist der Grund, warum sie viel verheerender als gewöhnliche Virusinfektionen sein kann, einschließlich solcher mit Ransomware.
Die kriminelle Kollektiv wurde nach einer Analyse der Bedrohung als KHRAK Trojan bekannt entdeckt. Es wurde in einem ausgeklügelten Angriff im August verwendet 2017 gegen Computer-Nutzer in Kambodscha. Das Hauptverbreitungsmethode war die Verwendung von infizierten Microsoft Word-Dokumente, die Social-Engineering-Taktiken so viele Benutzer wie möglich zu infizieren. Sobald die integrierten Makros (Skripte) die eingebauten Motor startet einen Download-Befehl, der den Rest des Virus ruft aktiviert. Die Sicherheitsanalyse zeigt, dass die Netzwerkanfragen eine falsche Adresse DropBox Domäne verwenden, das ist ein Trick verwendet, um Systemadministratoren und automatisierte Abwehrgegenmaßnahmen aus Erfassen die verdächtigen Operationen zu verhindern.
Nach der Installation wird die Einrichtung eines Trojan Instanz, die zu einem Hacker-gesteuerten Server verbindet,. Dies ermöglicht es den Rancor Hacker auf die Opfer auszuspionieren, zusätzliche Bedrohungen bereitstellen und auch die Kontrolle über die Maschinen zu einem bestimmten Zeitpunkt nehmen.
Der KHRAK Trojan ist ein wichtiges Teil des Puzzles, wie es, dass eine ähnliche Strategie gefunden wurde, wird zur Zeit gegen Ziele in Asien betrieben wird. Die Art und Weise die Infektionen durchgeführt werden, zeigt, dass die gleichen Akteure hinter den anhaltenden Angriffen sind. Die Berichte zeigen, dass die kollektive zielt Singapur und Kambodscha.
Der Rancor Hacker Leverage PLAINTTEE und DDKONG Malware Gegen asiatischen Ziele
erneut die Angriffe E-Mail-Spam-Nachrichten als primäre Methode der Verteilung verwenden. Die Berichte zeigen, dass der Rancor Hacker Elemente von Nachrichtenartikeln, die primäre Fokus auf politische Nachrichten und aktuelle Ereignisse genommen verwenden. Dies gibt den Experten einen Grund zu glauben, dass die Angreifer zielen in erster Linie politische Einheiten.
Eine der gefährlichsten Eigenschaften der E-Mail-Nachrichten ist, dass sie auf legitime gehostet werden, sitzt, darunter auch solche, die von der Regierung Kambodschas und sozialen Netzwerken gehostet werden, einschließlich Facebook. Bei der Analyse beachten Sie die Security-Spezialisten, dass einige der KHRAT Trojan-Befehle und Server verwendet werden. Es gibt zwei verschiedene Cluster (genannt “Cluster A” und “Cluster B”) dass verwenden getrennte Phishing-Strategien. Dieser Schritt wird getan, um die Infektion Verhältnis zu erhöhen.
DDKONG Malware-Funktionen
Die Codeanalyse des DDKONG Malware zeigt, dass die frühesten Versionen davon zurück bis Oktober 2017. Dies zeigt, dass es sehr gut möglich ist, dass der Code des Virus kann mit anderen Gruppen oder Hacker freigegeben wurde.
DDKong besteht aus drei Teilen: Servicemain, Rundll32Call und DllEntryPoint. Wenn der erste Teil ausgeführt wird, wird es sich als Dienst laden und dann das zweite Modul starten. Dies wird getan, um ein zu ermöglichen persistent Installation. Ähnliche Bedrohungen das System durch die Deaktivierung bestimmte Recovery-Menüs und Modi ändern und das Virus automatisch gestartet werden, wenn der Computer gestartet wird. Dies macht eine manuelle Benutzer Entfernung sehr schwierig.
Die Rundll32Call Funktion startet einen Service-Monitor, der sicherstellt, dass nur eine Instanz zu einem Zeitpunkt ausgeführt wird. Das dritte Modul ist in codierter Form geliefert und dekodiert auf dem System führen, sobald die zwei vorherigen Module gelungen Lauf. Dieser Schritt ist notwendig, um die Sicherheitssoftware verwenden, signaturbasierten Scans zu verhindern, dass die endgültige Malware zu erkennen. Das Endmodul (DllEntryPoint) schafft eine sichere Verbindung zu einem Hacker-kontrollierten Server, der die Infektion zu berichten verwendet wird. Es ermöglicht auch der Hacker andere Bedrohungen zu installieren, Spion auf den Opfern und übernimmt die Kontrolle über die Maschinen.
PLAINTEE Malware-Funktionen
Die PLAINTEE Malware ist eine hoch entwickelte Bedrohung, die ein benutzerdefinierten UDP-Protokoll für die Kommunikation mit den Hackern verwenden gefunden wurde. Wie DDKONG verwendet es Phishing-E-Mails für die Erstinfektion und sobald die Malware macht seinen Weg auf die Zielrechner wird es seine eingebauten Verhaltensmuster starten.
Die Code-Analyse auf den erfassten Stämmen zeigt, dass die erste von der Bedrohung gemacht Aktionen die in Zusammenhang stehen Windows-Registrierung. Das Virus installiert sich als ein persistent Bedrohung für sich allein als Maskierungs “Microsoft Audio” Bedienung. Es erstellt einen neuen Ordner-Eintrag, der als Bestandteil des Betriebssystems gehören, stellt. Im Anschluss an diesem System Service-Monitor genannt wird, das überwacht und sicherstellt, dass nur eine Instanz zu einem Zeitpunkt ausgeführt werden.
Der nächste Schritt ist ein auszuführen Daten Ernte Motor, der zu erzeugenden verwendet wird eindeutige Benutzeridentifikation. Die Liste der gesammelten Werte enthält die folgenden Informationen:
- Prozessordaten & Installierter Speicher
- Komponenten Motherboard und installiert
- Regionale Einstellungen
- Benutzer-Set Betriebssystem Werte
Wie die DDKONG Malware diese besondere Bedrohung nutzt auch eine benutzerdefinierte Sicherheitsprotokoll mit dem Hacker-kontrollierten Servern kommunizieren. Die geerntete Daten werden automatisch gesendet, und eine Antwort und Anfragesequenz hergestellt werden. Die beobachteten Wechselwirkungen signalisieren, dass der Hacker verschiedene Befehle verwenden können. Sowie die Liste der sensiblen Daten Abrufen der Verbindung kann verwendet werden, um zusätzliche Bedrohungen bereitstellen.
Die durchgeführte Analyse zeigt, dass der Motor auch die Liste der laufenden Anwendungen und Dienste abrufen kann, sowie die zur Verfügung stehenden Netzwerkverbindungen. Dies kann dazu verwendet werden, um zusätzliche Bedrohungen bereitstellen, übernimmt die Kontrolle über ihre Maschinen und Spion auf dem Benutzer in Echtzeit.
Folgen der PLAINTTEE und DDKONG Malware-Infektionen durch den Rancor Hackers
Die anhaltenden Angriffe, die von dem Rancor Hacker stammen scheinen allein die Region Südostasien zu Targeting. Es ist sehr wahrscheinlich, dass sie aus einem Land, in dieser Gegend kommen, da sie ein anspruchsvolles Social Engineering-basierte Phishing-Schema verwendet werden. Einer der gefährlichsten Aspekte der Bedrohung ist, dass es benutzerdefinierte Protokolle verwendet, diese ausweicht sowohl die Erkennung der Malware-Bedrohungen sowie von Sicherheits-Software und auch die Analyse-Netzwerk.
Die Analyse Schlussfolgerung bestätigt erneut, dass komplexe Stämme wie diese besonders gefährlich sind. Die Untersuchung geht weiter als die Sicherheitsforscher weiterhin die Malware-Landschaft überwachen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: