Hammertoss Backdoor malware por el ruso Grupo APT29 Explicación - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com
CYBER NOTICIAS

Hammertoss Backdoor malware por el ruso Grupo APT29 Explicación

NombreHammertoss
EscribeEl malware de puerta trasera, ejemplar de malware
Descripción breveHammertoss emplea los servicios web de fiar, utiliza algoritmos furtivos y es persistente a los investigadores forenses’ detección.
Herramienta de detecciónDescargar herramienta anti-malware, para ver si su sistema ha sido afectado por Hammertoss

Un nuevo malware de Rusia ha surgido la Web. Se llama Hammertoss y es una cepa de malware con capacidades de puerta trasera. Hammertoss se atribuye a un grupo ruso llamado APT29 y ha sido descubierto por los investigadores en FireEye Inc. Ellos han estado vigilando de cerca las actividades de APT29 e incluso sospechar que el grupo de piratas informáticos 'tiene algo que ver con el gobierno ruso.

p16_0000

Etapas Hammertoss Ataque Explicación

El ataque de Hammertoss consta de cinco etapas y afecta a clientes corporativos. La pieza de malware es bastante sofisticado, y sus creadores han asegurado para cubrir sus huellas en la forma más sigilosa. Los investigadores de FireEye han identificado una serie de técnicas. Aquí es cómo funciona la herramienta maliciosa:

    1. El empleo de los servidores web de fiar - Twitter, GitHub, para recuperar comandos.

    2. Algoritmos que inician todos los días y las manijas de Twitter automatizados.

    3. El empleo de aperturas programadas en una fecha determinada o en un período determinado, normalmente semana de trabajo de la víctima.

    4. Incorporación de imágenes con comandos y datos cifrados.

    5. Utilizando una red comprometida para subir archivos y extraer información a través de servicios en la nube.

La operación comienza con Hammertoss Twitter. Aquí es donde el malware se busca primero las instrucciones. El algoritmo genera las manijas diarias de Twitter. Para hacer eso, se emplea un nombre base, por ejemplo, Micro, y tres valores CRC32 en base a la fecha se crean. Aquí está un ejemplo del nombre base - labMike.52b. La dirección URL será algo así como hxxps://twitter.com/1abMike52b. Si mango de un día no se ha registrado o que se encuentran, así como la propia dirección URL, Hammertoss se establece que esperar hasta el día siguiente para intentar una vez más para conectar con otro mango. Poco dicho, el malware Hammertoss se mezcla en el entorno de la víctima y puede permanecer latente hasta que es activado.

El hashtag Explicación

Si APT29 ha registrado mango día de un particular,, Posteriormente, el grupo twittear una URL y un hashtag. La URL se utiliza para dirigir Hammertoss a un sitio web que contiene una o varias imágenes. El hashtag sí mismo se utiliza para proporcionar un número de ubicación y caracteres para subjoining a una clave de cifrado para descifrar las instrucciones dentro de la imagen.

hashtag-tweet-hammertoss-malware

El tweet malicioso contiene un hashtag con instrucciones para extraer los datos cifrada del archivo de imagen dañada. Los caracteres que se emplearán para el proceso de descifrado son 'docto', tan visible en la imagen proporcionada por el equipo de investigadores FireEye.

APT29 Grupo de hackers. ¿Quién está detrás de él?

De acuerdo con los investigadores de FireEye, APT29 está más probable es patrocinado por el gobierno ruso. Echar un vistazo a las víctimas y los objetivos del grupo es suficiente para hacer una conclusión. Además, actividades maliciosas del grupo suelen tener lugar durante los días festivos oficiales rusos. La zona horaria de sus ataques por lo general se fijó en TC +3 - La zona horaria de ciudades como Moscú y San Petersburgo. El calendario y el rendimiento general de la APT29 hablan a cabo una estricta disciplina y la coherencia, lo que los convierte en uno de los mejores - y más temibles equipos de hackers por ahí.

Uno de los patrones que difiere del grupo de otros equipos de la piratería es la técnica anti-forense se utiliza para confundir a los investigadores forenses y sus métodos. Otra característica sigiloso que se encuentra en los ataques de APT29 es el monitoreo de los esfuerzos de la víctima para derrocarlos. Sus piezas de malware siempre se desarrollan rápidamente gracias a las herramientas de modificación que utilizan para la detección de sabotaje.

En resumen, Hammertoss está diseñado para deteriorar las capacidades y esfuerzos para reconocer las cuentas de Twitter utilizados para las actividades de mando y control de la red de defensores ', prever el tráfico de red malévola de la actividad legítima, y descubrir las cargas maliciosas activan y descargados por el malware.

Para entender completamente cómo funciona el software malicioso Hammertoss, echar un vistazo a la informe.

avatar

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...