Zuhause > Cyber ​​Aktuelles > Twittersploit-Angriff nutzt gefährliche Twitter-Malware
CYBER NEWS

Twittersploit Angriff Nutzt Dangerous Twitter Malware

Die Sicherheitsexperten von einer gefährlichen neuen Infektion Methodik alarmierten bekannt als Twittersploit Angriff. In der Mitte von allem ist die Verwendung von mehreren Malware-Instanzen, die den sozialen Netzwerk Twitter-Dienst als C verwenden&C (Steuerung und Kontrolle) Server-Schnittstelle. Die Analysten beachten Sie, dass ein komplexes Verhaltensmuster auf den Zeitpunkt der Infektion ausgeführt wird.

Die Malware Hinter dem Twittersploit Angriff

Einer der ersten bösartigen Instanzen, die bei den Anschlägen verwendet werden, wird genannt CozyCar (auch als CozyDuke bekannt). Es wurde aus in erster Linie durch das APT-Hacking Kollektiv verwendet 2015 zu 2015 und stellt einen modularen Rahmen, die angepasst werden können entsprechend den einzigartigen Eigenschaften der laufenden Ziele. Einer der Höhepunkte dahinter ist die Tatsache, dass die von dieser Malware verwendet Tropfer eine führt Stealth-Schutz Modul, das den infizierten Computer für jede Sicherheitssoftware und Dienstleistungen suchen, die mit ihrer korrekten Ausführung stören. Die CozyCar Bedrohung sieht für Anti-Virus-Programme oder Sandbox-Umgebung und falls vorhanden der Angriff gefunden werden, wird sich verbergen und nicht mehr ausgeführt. Dies wird getan, um Systemadministratoren zu vermeiden, herauszufinden, dass es eine Schwäche im System gewesen ist.




Die Hauptmaschine wird mit einem rotierenden Chiffre verschleiert, die es sehr schwer macht, die Infektionen zu identifizieren. Der Tropfer verwendet auch eine bösartige des rundll32.exe Systemdienst, um die Hauptkomponente auszuführen. Es ist auch automatisch gestartet sobald der Computer gestartet, dies erfolgt über Windows-Registrierung Änderungen. Es wird als geplant Service und eine geplante Aufgabe gesetzt. Die Hauptmethode der Kommunikation an den Hacker-gesteuerten Server ist über eine normale Verbindung oder eine sichere Schnittstelle. Die CozyCar Malware ermöglicht es dem Hacker beliebige Befehle auszuführen. Die anderen gefährlichen Module mit ihm verbunden sind die Verwendung eines Informationen zu stehlen Mechanismus. Es kann sowohl Anmeldeinformationen im Betriebssystem gespeichert ernten und bestimmte Anwendungen und Dienste von den Benutzern selbst installiert.

Die nächste Malware im Angriff eingesetzt wird aufgerufen HAMMERTOSS und wird durch das gleiche Kollektiv gemacht. Eines der einzigartigen Merkmale dahinter ist, dass es die zugehörigen Module von verschiedenen Web-Ressourcen Downloads wie Twitter und GitHub. Der Haupt binäre enthält eine Funktion, die erzeugt einen anderen Twitter-Handle für die durchgeführten Kontrollen. Der Tropfer verwendet eine sichere Verbindung, um den Hacker gesteuerte Dienste zu verbinden. Wie die vorherige Instanz verschleiert es selbst in Bilddateien. Statt der gemeinsamen cmd.exe Laufbefehle HAMMERTOSS nutzt Power Shell, den Hacker damit hinter den Angriffen komplexe Skripte ausführen. Die Sicherheitsanalyse wurde festgestellt, dass der Motor ein verwendet benutzerdefiniertes Verschlüsselungsprotokoll. Irgendwelche aufgenommenen Dateien werden zunächst hochgeladen Hacker-gesteuert (oder entführt) Web-Cloud Speicherplattformen. Von dort auf sie kann später wieder abrufen.

Die MiniDuke Malware von APT in der Periode verwendet, 2010-2015 in erster Linie von Download- und backdoor Komponenten besteht. Es ist ein effizientes Werkzeug eine Vielzahl von Bedrohungen für die Bereitstellung - von Ransomware auf Trojaner und Rootkits. Seine interessant, dass es ein implementiert Ausweichkanal verwendet, um die C zu identifizieren&C-Server. Wenn die auf Twitter gehosteten denjenigen nicht reagieren, dann wird der MiniDuke Malware automatisch eine Google-Suchabfrage mit bestimmten Inhalten auslösen, die sie identifizieren können. Dies macht die Twittersploit Angriff besonders effektiv. Wenn Backdoors auf den infizierten Systemen Download werden sie in GIF-Dateien verschlüsselt.

Das letzte Modul in den Anschlägen verwendet wird aufgerufen OnionDuke, es wurde als eine primäre Nutzlast während mehrere Kampagne verwendet auftretend 2013-2015. Die verschlüsselten Verbindungen sowie das Herunterladen verschiedene Nutzlasten an die Maschinen. Die Malware ist in der Lage Nachrichten automatisiert an die VKontakte Social-Media-Website veröffentlichen. Es ist Hauptaufgabe ist es, extrahieren Anmeldeinformationen und private Informationen.

ähnliche Geschichte: CoinHive Miner Virus Outbreak infiziert hat, 170,000 Router

Folgen des Twittersploit Angriffs

Einer der Hauptgründe, warum der Twittersploit Angriff besonders wirksam ist, viele Infektionen bei der Verursachung. Das Verfahren überwindet die traditionellen schwarzen Listen von Hacker-gesteuerten URLs. Um effektiv die Angriffe zu blockieren, die Netzwerk-Administratoren auftreten müssen blockieren den Zugang zum sozialen Netzwerk Twitter.

Verschlüsselte Kommunikation ist schwer zu verfolgen und zu analysieren,. Die Tatsache, dass die Twitter-Kommunikation mehrere Griffe benutzen zeigt, dass ein komplexer Motor programmiert wurde. Kommunikation in der Regel folgt ein etabliertes Modell der bidirektionalen Befehle. Eine gemeinsame Taktik ist es, zunächst die Infektion zu berichten und dann für alle Befehle mithören. Ein Proof-of-Concept-Code zeigt, dass eine Implementierung dieser Tools mit einfacher ist durch böswillige Akteure auf jedem Niveau zu tun und möglich, solange sie den Zugang zu den APT-Tools haben.

Der Twittersploit Angriff ist eine effektive Lösung für komplexe Infektionen Durchführung. Die Tatsache, dass alle Hauptwerkzeuge von der APT-Gruppe verwendet werden zeigt, dass es klare kriminelle Absicht in ihrer Verwendung. Ohne Rücksicht auf die Erstlieferung Netzwerk kann ein erfolgreiches Eindringen verwendet werden ganze Netzwerke einzudringen sofort. In Anbetracht der zur Verfügung stehenden Ressourcen und Funktionen Nutzung der verschiedenen Malware können zum Extrahieren von sensiblen Informationen und die Bereitstellung von anderen Viren verwendet werden,.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau