Zuhause > Cyber ​​Aktuelles > StrongPity-Hacker starten Spyware-Angriff gegen Ziele in der Türkei und in Syrien
CYBER NEWS

StrongPity-Hacker starten Spyware-Angriff gegen Ziele in der Türkei und in Syrien

Sicherheitsforscher haben festgestellt, dass eine Hacking-Gruppe namens StrongPity mit Spyware-Dateien einen laufenden Angriff ausführt. Die Ergebnisse zeigen, dass diese spezielle Kampagne auf kurdische Ziele ausgerichtet zu sein scheint, die in diesen Ländern vorhanden sind.




Hosts in der Türkei und in Syrien, die von erfahrenen StrongPity-Hackern mit modifizierter Spyware angegriffen werden

Die Spyware, die als Infiltrationstool verwendet wird, ist eine modifizierte Version der zuvor erkannten Malware. Sie enthalten jetzt neuere Funktionen und Code-Chanes, die die Tatsache widerspiegeln, dass die Kriminellen erfahren sind.

Die Hacker haben sich darauf konzentriert, ihre Ziele so auszuwählen, dass sie Computer und Netzwerke darstellen, die Kurden gehören und von ihnen genutzt werden. Dies zeigt deutlich, dass diese Kampagne ist Politisch motiviert. Die Zeitstempel, die in die erfassten Dateien integriert sind, zeigen an, dass sie mit übereinstimmen Oktober 1 2019. Dies kann sich auf zwei Dinge beziehen — das Kompilierungsdatum der Tools oder den Beginn von Operation Friedensfrühling — die türkischen Militäraktionen in Syrien, die diesen Codenamen verwendeten. All dies zeigt, dass es möglich ist, dass die Kampagne sogar staatlich gesponsert wird.

Die Infektionen werden durchgeführt, indem die Zielserver vorgewählt und dann ein gefährlicher Trojaner gegen sie gestartet wird. Die modifizierten Versionen der Trojaner werden durch einen angerufenen Angriff ausgeliefert Wasserstelle. Sie werden ausgeführt, indem häufig besuchte Websites ausgewählt werden, die gehackt und auf eine von Hackern kontrollierte Zielseite umgeleitet werden. Dies löst das Herunterladen eines Anwendungspaket oder direkte ausführbare Dateien. Diese Dateien werden digital mit selbstsignierten Zertifikaten signiert, die als legitime Software angezeigt werden. Es werden auch Verschlüsselungsschlüssel hinzugefügt, um die Tropfer vor normalen Sicherheitsüberprüfungen zu schützen. Beispiele für infizierte Softwarepakete enthalten Beispiele wie die folgenden:

  • Archivprogramme — 7-Zip und WinRAR
  • Sicherheitssoftware — McAfee Security Scan Plus
  • Anwendungen zur Wiederherstellung von Dateien — Recuva
  • Fernverbindungsanwendungen — Teamviewer
  • Chat-Anwendungen — WhatsApp
  • System-Utilities — Piriform CCleaner, CleverFiles, Disk-Drill, Daemon Tools Lite, Glary Utilities und RAR Password Unlocker

Wenn die Dropper ausgeführt werden, startet der Schadcode und interagiert mit den von Hackern kontrollierten Servern, indem die zweite Stufe der Spyware-Tools von ihnen abgerufen wird.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/ransomware-lenovoemc-nas-devices/ “]Ransomware zielt auf LenovoEMC NAS-Geräte ab

StrongPity-Hacker integrieren erweiterte Funktionen in die Spyware

Wenn die Opfer die entsprechenden Spyware-Dateien aktiviert haben, führt dies zu Bereitstellung von 4 Dateien: die legitime Software-Setup-Datei, Launcher und seine relevante dauerhafte Installationskomponente, die Datenentführungskomponente und einen Dateisucher.

Der Trojaner lädt zuerst die eigentliche legitime Softwareinstallation, damit die Benutzer des Opfers keine potenziell gefährlichen Aktionen vermuten. Jedoch In der Zwischenzeit wird der Virencode im Hintergrund gestartet. Die Malware-Komponenten werden in verschlüsselter Form geliefert und extrahiert, wenn in Abschnitten auf sie zugegriffen werden muss, um sie vor potenziellen Sicherheitsüberprüfungen zu schützen.

Die Launcher-Komponente der Spyware wird in den SYSTEM-Ordner geliefert, von wo aus sie einen eigenen Dienst startet. Die gesammelten Beispiele zeigen, dass die Malware einen laufenden Betriebssystemdienst wie z Spooler drucken oder Registrierungswartungsserver. Eine verwandte Aktion ist die Installation der Bedrohung in a persistenter Zustand. Dies bedeutet, dass der Virencode und alle zugehörigen Komponenten beim Einschalten des Computers automatisch gestartet werden.

Die Datensammlung Modul wird neben dem ausgeführt Dateisucher Komponente, um Dateien zu finden, die von den Hackern als sensibel eingestuft werden können. Dies umfasst sowohl persönliche Benutzerinformationen als auch Maschinendaten, die über eine Netzwerkverbindung an die Kriminellen gesendet werden.

Angesichts dieser Funktionen ist es sehr wahrscheinlich, dass der Code geändert werden kann, um andere Funktionen wie die folgenden einzuschließen:

  • Zusätzliche Malware-Installation — Während des Infiltrationsprozesses können die Spyware-Tools so programmiert werden, dass sie Malware-Code für alle wichtigen Virenkategorien bereitstellen und installieren. Dies kann voll funktionsfähig sein Trojaner Diese sollen die Kontrolle über die Maschinen des Opfers übernehmen und die darin enthaltenen sensiblen Daten stehlen. Web-Bedrohungen tragen oft Kryptowährung Bergleute Außerdem laden sie eine Reihe komplexer leistungsintensiver Aufgaben herunter und führen sie aus. Sie nutzen die wichtigsten Hardwarekomponenten: Zentralprozessor, Erinnerung, Grafik, Festplattenspeicher, GPU und Netzwerkgeschwindigkeit. Für jede gemeldete abgeschlossene und gemeldete Aufgabe erhalten die Hacker als Belohnung Kryptowährung. Eine andere mögliche Malware, die installiert werden kann, ist a Ransomware-Virus — Sie verarbeiten Benutzerdaten gemäß einer integrierten Liste von Zieldateityperweiterungen. Sie werden verschlüsselt, wodurch der Zugriff unzugänglich wird. Sie werden dann erpresst, um eine Entschlüsselungsgebühr zu zahlen.
  • Systemänderungen — Die Kriminellen können auch erweiterte Systemmanipulationen implementieren, einschließlich der Änderung von Konfigurationsdateien und Änderungen der Windows-Registrierung. Dies kann das Starten bestimmter Dienste unmöglich machen und zu unerwarteten Fehlern und größeren Systemproblemen führen.
  • Botnet Recruitment — In einigen Fällen können die kontaminierten Hosts für ein weltweites Netzwerk verbundener Computer rekrutiert werden. Ihre kollektive Kraft kann für groß angelegte Angriffe genutzt werden, die sich auf einen einzelnen Zielcomputer konzentrieren können. Die häufigste Art des Angriffs ist die Distributed-Denial-of-Service Kampagnen, mit denen die Zielwebsites entfernt werden.

Es wird erwartet, dass solche gezielten Kampagnen fortgesetzt werden, da fortgeschrittene Hacking-Gruppen politisch motiviert sind und vorläufige Untersuchungen zu den beabsichtigten Opfernetzwerken verwenden.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau