Zuhause > Cyber ​​Aktuelles > Neue USBCulrprit-Malware zum Ausspionieren von Air-Gapped-Computern
CYBER NEWS

Neue USBCulrprit-Malware zum Ausspionieren von Computern mit Luftspalt

Eine unbekannte Hacking-Gruppe steckt hinter einer neuen gefährlichen Bedrohung, der USBCulprit-Malware. Es wurde entwickelt, um gesicherte Systeme stillschweigend zu infiltrieren air-gapped — Dies bedeutet, dass sie nicht mit dem externen Netzwerk verbunden werden. Derzeit werden mehrere Länder ins Visier genommen, hauptsächlich in Asien.




Computer mit Luftspalt, die von der fortschrittlichen USBCulprit-Malware ausspioniert wurden

Eine unbekannte Hacking-Gruppe oder Einzelperson hat eine gefährliche neue Bedrohung geschaffen, die von vielen Sicherheitsexperten als die identifiziert wurde USBCulprit Malware. Im Vergleich zu anderen Allzweckviren soll dieser in die sogenannten Viren eindringen Computergeräte mit Luftspalt. Dies sind normalerweise kritische Infrastrukturen, Server und andere hochkarätige Computergeräte, die absichtlich von anderen Netzwerkgeräten isoliert sind.

Es gibt verschiedene Namen, die verwendet werden, um auf den Hacker und / oder die Malware selbst zu verweisen: Goblin Panda, Cycldek und Conimes, Dank der analysierten Proben können wir überprüfen, ob ein umfangreiches Feature-Set integriert wurde. Es gibt verschiedene Kategorien, die verwendet werden, um die einzelnen Aktionen zu beschreiben, die von der Malware ausgeführt werden können:

  • Dateiinteraktion — Dies umfasst alle Aktionen, die sich auf Datenmanipulationen jeglicher Art beziehen: Erstellung von Dateien und Änderung und Entfernung vorhandener Dateien. Dies gilt auch für Verzeichnisse.
  • Datendiebstahl — Die Hacker können die USBCulprit-Malware verwenden, um Dateien von den lokal verbundenen Festplatten zu stehlen, Wechselmedien und Netzwerkfreigaben, sofern verfügbar.
  • Sicherheitsbezogene Aufgaben — Diese Kategorie umfasst die wichtigsten Methoden, mit denen das Virus in die Zielsysteme eindringen kann.

Derzeit ist die genaue Infektionsstrategie der Hacker, die hinter der Bedrohung stehen, noch nicht bekannt. Die Forscher glauben, dass die Die Hauptmaschine basiert auf USB-Wechselmedien. Dies bedeutet, dass ein infiziertes USB-Flash-Laufwerk oder ein externes Laufwerk in ein Netzwerk gebracht werden muss, das den Zielcomputer mit Luftspalt erreichen kann.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/octopus-scanner-malware-github/”]Octopus Scanner Malware in infizierten GitHub-Repositories gefunden

Weitere Informationen zur USBCulprit Malware

Die Infektionen, die zur Bereitstellung der USBCulprit-Malware führen, werden durch infizierte Wechselmedien oder frühere Virenaktivitäten verursacht. Die Hacker verwenden eine Bedrohung namens NewCore als Hauptmechanismus für die Lieferung von Nutzlasten. Es selbst ist unterteilt in zwei Versionen - BlueCore und RedCore. Sie beinhalten Keylogger-Funktionalität Dies dient zum Aufzeichnen der von den Benutzern eingegebenen Tastenanschläge und Mausbewegungen. Eine weitere wichtige Funktionalität ist die Integration von a RDP-Diebstahlfunktion — Es erkennt, ob eine Remotedesktop-Anmeldesoftware von den Computeradministratoren installiert wurde, und stiehlt die Anmeldeinformationen. Dadurch können die Hacker die Kontrolle über die Hosts über eine legitime Anwendung übernehmen. Aus Sicht eines Netzwerkadministrators wird dies als normaler Anmeldeversuch gekennzeichnet und löst keinen Alarm aus, dass ein Eindringling Zugriff auf das Netzwerk erhalten hat.

Diese beiden Tools enthalten auch die Funktion to Liefern Sie die USBCulprit-Malware als Teil ihrer Verhaltenssequenz. Einer der mit dieser Bedrohung verbundenen Befehle ist der Sammlung von Dokumenten Diese werden dann auf das angeschlossene Wechseldatenträgergerät exportiert. Die Hacker konzentrieren sich auf a seitliche Bewegungsstrategie Dies bedeutet, dass sie sich auf das infizierte USB-Laufwerk verlassen, um andere Infektionen durchzuführen.

Ein weiterer Ansatz der Hacker, die hinter der Bedrohung stehen, ist der Maskierung von Dateikomponenten — Die Hacker lassen sie erscheinen, da sie Teil eines Antivirenprogramms sind. Dadurch werden der Loader und der eigentliche Virus maskiert.

Die analysierten Beispiele zeigen an, dass die Malware über einen aufgerufenen Mechanismus geladen wird Entführung von DLL-Suchaufträgen — Dadurch wird das Vorhandensein des Virencodes ausgeblendet und im Hintergrund unbeaufsichtigt gestartet. Im Moment die Hauptaufgabe ist es, sensible Daten zu entführen und dann legen Sie es in eine verschlüsselte RAR-Archivdatei. Es wird dann auf das Wechseldatenträgergerät kopiert, von wo es von den Hackern erworben wird. Es wird erwartet, dass zukünftige Updates die Übertragung der Daten über die Trojaner-Verbindung ermöglichen.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau