CYBER NEWS

Beschäftigen Turla Hacker Mosquite Backdoor Against Diplomats

Turla Hacker Bild

Die Turla Hacker sind ein berüchtigter Verbrecher Kollektiv, das für die Ausführung komplexer Angriffe auf große Unternehmen und staatliche Einrichtungen sind allgemein bekannt. Security-Experten haben festgestellt, dass sie für eine groß angelegte laufenden Hacking-Kampagne verantwortlich sind gegen Botschaften und Konsulate vor allem in Europa erweiterte Netzwerk-Manipulationstechniken.

Die Frühwarnzeichen: Turla Hacker eines gefährlichen Angriff Mutmaßliche

Sicherheitsexperten wurden einer kombinierten Hackerangriff gewarnt. Die eingehende Analyse zeigt, dass das Kollektiv ist wahrscheinlich die wahrscheinlich Täter als eine sehr komplexe Infektionskette gegen hochkarätige Ziele verwendet wird,. Die Mehrheit der beabsichtigten Opfer sind Diplomaten in Europa basiert in erster Linie. Die Betreiber haben modifizierte Kopien des Adobe Flash Player verwendet, um eine gefährliche Hintertür zu installieren genannt Moskito die zu der Gruppe zurückgeführt wird,. Während der Initialisierung des Malware verbindet es mit Kommando- und Kontrollserver, die zuvor mit der Turla Gruppe in früheren Kampagnen zugeordnet wurden.

Die Verhaltensanalyse paßt auch die Unterschriften von anderen Malware-Familien, die auf die Turla Hacking-Gruppe zugeschrieben werden. Dazu gehören nicht nur ähnliche Prozessausführungssequenz, sondern auch Komponenten wie beispielsweise die Zeichenfolge Verschleierungsvorgeschoben und die API Auflösungskomponente. Dies kommt zu dem Schluss, dass der Hacker ihre Einbruchsversuche gegen hochkarätige Ziele weiterhin erneut.

Der Turla Hacker Beschäftigen Netzwerk Manipulation und Adobes Servern während der Infektion

Der Hacker Turla hat gefälschte Kopien des Adobe Flash Players erstellt, die als einige ihrer früheren Kampagnen nicht so viel anders ist. Doch statt mit dem bekannten Taktiken wie E-Mail-Nachrichten (mit oder ohne Social Engineering-Techniken) und gefälschte Download-Seiten, die Malware-Dateien scheinen direkt von den Adobe-Servern heruntergeladen werden. Als Ergebnis Einbruchserkennungsdienste und Benutzeradministratoren können in so dass die Installation nicht täuschen fortzusetzen.

Bei einer weiteren Untersuchung wurde entdeckt, dass der Hacker nicht die Host-Feld Manipulationstechnik verwendet hat. Die Kriminellen manipulieren dieses Feld auf einem Hacker-kontrollierten Server-zu-Punkt. Doch während der eingehenden Analyse zeigte sich, dass dies nicht der Fall war und Malware-Dateien in der Tat von der Adobe-Server verfügbar zu sein scheinen. Das Sicherheitsteam der Firma jedoch feststellen, dass kein Einbruch festgestellt wurde.

Es gibt mehrere mögliche Erklärungen, die in Betracht kommen:

  • Rogue DNS-Server - Die IP-Adressen auf den realen Servern von Adobe verwendet reagieren, so wurde dieser Vorschlag schnell verworfen.
  • Der Mann in der Mitte (MitM) Attacke - Der Hacker Turla kann einen geschwächten Rechner im Netzwerk der beabsichtigten Opfer gefunden nutzen. Mit Hilfe eine ARP-Spoofing-Technik der Kriminellen kann den Verkehr in Echtzeit manipulieren und zu anderen gefährlichen Hosts umleiten. Während der eingehenden Untersuchung der anhaltenden Angriffe keine solche Werkzeuge wurden in den Code und Verhaltensmuster erkannt. Wenn dieses Verfahren verwendet wird, dann muss eine Infektion vor dem eigentlichen Kampagnenstart vorgenommen wurde.
  • Zerhackt Gateway-Vorrichtung - In diesem Fall dringen die Verbrecher auf Gateway-Geräte (Router, Proxy-Server und Netzwerk-Switches) dass Auswirkungen, die eine große Zahl von Opfern. Solche Angriffe geben Turla die Fähigkeit und die ein- und ausgehenden Datenverkehr zwischen dem lokalen Netzwerk und dem Internet zu überprüfen.
  • ISP-Ebene Intrusion - In ähnlicher Weise kann die Turla Gruppe auf die Servern des Internet Service Provider ändern intrude selbst (ISPs). Die meisten Ziele sind in der ehemaligen UdSSR Ländern und verwenden sie mindestens vier verschiedenen Anbietern. Dieses Szenario wäre wahrscheinlich, wenn der Hacker die Fähigkeit hat, den Netzwerkverkehr in verschiedenen Ländern gleichzeitig zu überwachen.
  • BGP Hijacking - Das letzte mögliche Szenario ist ein BGP Hijacking Angriff. Dies kann durch ein autonomes System durchgeführt werden, um einen Präfix bekannt zu geben, die auf die Adobe-Website gehört. Dies würde es ermöglichen den Netzwerkverkehr zu Hacker-kontrollierten Websites geleitet werden. Die betroffene Gruppe wäre Benutzer, die in der Nähe der gefährlichen Orten befinden. Dies ist jedoch sehr unwahrscheinlich, da es zahlreiche Dienste, die für eine solche Malware Praktiken ständig überwachen.

Effektiv jeder Missbrauch Netzwerk kann es Malware-Infektionen mit beliebigen Nutzlasten führen. Die laufende Angriff Kampagne scheint meist mit einem gefährlichen Backdoor zu einer Infektion führt bekannt als Moskito.

Ein alternatives Verhalten wird auch beobachtet, wo die Adobe Flash-Installer bietet zwei separate JavaScript-basierte Backdoor anstelle der Mosquito Malware. Sie werden in einem Systemordner, der von Microsoft gestellt und sind aufgerufen, google_update_chcker.js und local_update_checker.js.

Die erste Instanz lädt eine Web-Anwendung gehostet von Google Apps Script. Die Anwendung ist so gemacht, dass es eine Basis-64-codierte Antwort erwartet. Sobald der erforderliche Befehl wird der Inhalt zurückgesendet wird unter Verwendung von decodiert eine eingebaute Funktion. Es wird vermutet, dass es Zweck zusätzliche Gefahren für die Maschine zum Download ist. In anderen Fällen kann es beliebige Befehle verwendet werden, auszuführen und. Die Code-Analyse zeigt, dass wie Mosquito kann es als persistent Bedrohung installiert werden, indem ein Registrierungswert hinzufügen.

Die zweite JavaScript Malware liest den Inhalt einer Datei in einem Systemordner befindet und führt seinen Inhalt. Solche Viren sind mit ihren zugehörigen Konfigurationsdateien gelöscht zusammen. Sie sind extrem gefährlich, da ihr Verhalten abhängig von jedem infizierten Wirt verändert werden kann. Es kann einen Registrierungswert hinzufügen, um einen dauerhaften Zustand der Ausführung zu erreichen.

ähnliche Geschichte: Malware-Code, die nie alt wird, Version 2017

Die Mosquito Backdoor ist die Turla Hacker Waffe

Die eingehende Analyse der Hauptgruppe von der Turla verwendet Nutzlast ist eine Hintertür genannt Moskito. Die Analysten beachten Sie, dass dies ein aktualisierter einer älteren Bedrohung, die seit verwendet wurde, 2009. Es wird als Adobe Flash Player-Installationsprogramm getarnt und kann die meisten Computer-Nutzer täuschen, wie es legitime Unterschriften von Adobe enthält. Der eigentliche Schadcode ist stark verschleiert (versteckt) mit einem benutzerdefinierten Verschlüsselungsmechanismus. Sobald die Malware-Nutzlast bereitgestellt wurde folgt, ein vordefiniertes Muster Verhalten.

Bei Infektion entschlüsselt die Mosquito Backdoor selbst und fällt zwei Dateien in Systemordner. Die Analysten beachten Sie, dass Turla a enthält Stealth-Schutztechnik dass Forscher für Zeichenfolgen, die mit Sicherheits-Software verbunden sind,. In zukünftigen Versionen kann es auch gegen andere Werkzeuge verwendet werden, wie zum Beispiel virtuelle Maschinen, Sandkästen und Debug-Umgebung. Die Mosquito Malware Erlös durch die Einrichtung eines persistenter Zustand der Ausführung über einen Run-Registrierungsschlüssel oder COM-Hijacking. Dies wird auch durch eine gefolgt Windows-Registrierung Änderung. Als Ergebnis wird der gefährliche Code jedes Mal, wenn der Computer gestartet wird ausgeführt.

Ein Informationsbeschaffung Phase folgt. Der Schädling hat die Fähigkeit, sensible Informationen über das System zu extrahieren und sie an den Hacker über eine Adobe-Domäne senden. Einige der Beispieldaten enthält die eindeutige ID der Probe, der Benutzername der Opfer Benutzers oder das ARP-Tabelle des Netzwerks.

Damit seine Opfer zu denken, täuschen, um berechtigten Installateur ein echtes Adobe Flash-Setup Beispiel heruntergeladen und ausgeführt. Adobes eigener Download-Server und ein Google Drive Link - Zwei Quellen wurden in den erfassten Proben identifiziert gefunden.

Bevor der Hauptcode Backdoor ausgeführt wird, erzeugt der Setup-Prozess ein separates Administratorkonto genannt Hilfeassistent oder HelpAsistant mit dem Passwort “sysQ!123”. Der Systemwert LocalAccountTokenFilterPolicy ist eingestellt auf 1 (Wahr) der es ermöglicht die Fernverwaltung. Die Sicherheitsexperten zeigen, dass dies mit Remote-Zugriffsoperationen in Verbindung verwendet werden kann, von den Kriminellen gemacht.

Die Turla Hacker Invention - Fähigkeiten des Mosquito Backdoor

Der Haupt Backdoor-Code verwendet verschlüsselte Windows-Registry-Werte mit einem benutzerdefinierten Algorithmus für sich selbst zu konfigurieren. Die Turla Hacker haben eine umfassende Protokolldatei Schriftsteller gebündelt. Die Analysten beachten Sie, dass es einen Zeitstempel für jeden Protokolleintrag schreibt. Dies ist sehr ungewöhnlich für einen Backdoor wie diese und wird wahrscheinlich von den Tätern verwendet, um die Infektionen zurückzuverfolgen.

Wie andere ähnliche Backdoors verbindet es mit einem Hacker-Steuerbefehl und Steuer (C&C) Server alle Computer-Interaktionen zu berichten. Dies wird über eine unbestimmte Zeit getan, eine Technik, die heuristische Scans basierte ausweicht. Der Hacker kann es verwenden, beliebige Befehle zu senden und weitere Schäden an den infizierten Wirte verursachen. Der User-Agent wird als Google Chrome erscheinen (Version 41).

Eine Liste der vordefinierten Anweisungen für einfachere Programmierung ist in der Backdoor-gebündelt. Die Liste enthält die folgenden Einträge:

  • Herunterladen und Ausführen einer Datei.
  • Prozesseinführung.
  • Datei löschen.
  • Datei Exfiltration.
  • Daten speichern Registry.
  • Befehl ausführen und sendet Ausgabe in C&C-Server.
  • Fügen Sie einen C&C-Server-URL.
  • Löschen eines C&C-Server-URL.
ähnliche Geschichte: Millionen von Computern mit Kryptowährung Miners Infizierte

Laufender Turla Hacker-Angriff: Wie Counter Them

Im Moment ist die Mosquito Hintertür noch nicht abgeschlossen und als Sicherheitsuntersuchungen weiterhin die Ursprünge der gefährlichen Eindringlingen suchen, die Zahl der potenziellen Ziele steigt weiter. Die Turla kriminelles Kollektiv wird in der Lage zu brechen in High-Profile-Targets bekannt, viele ihrer Opfer sind staatliche Institutionen oder große internationale Unternehmen. Die Social-Engineering-Angriffe sind bemerkenswert für ihre Komplexität, der Analytiker beachten Sie auch, dass die erweiterte Netzwerk-bezogene Angriffe sind alle Arten der Analyse und Intrusion Detection sorgfältig geplant zu vermeiden.

Da die Unterschriften für die breite Öffentlichkeit zur Verfügung bekannt sind empfehlen wir Computer-Benutzer ihre Systeme für alle Malware-Infektionen zu scannen.

Herunterladen

Malware Removal Tool


Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallierens

Avatar

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...