| Nombre | Hammertoss |
| Escribe | El malware de puerta trasera, ejemplar de malware |
| Descripción breve | Hammertoss emplea los servicios web de fiar, utiliza algoritmos furtivos y es persistente a los investigadores forenses’ detección. |
| Herramienta de detección | Descargar herramienta anti-malware, para ver si su sistema ha sido afectado por Hammertoss |
Un nuevo malware de Rusia ha surgido la Web. Se llama Hammertoss y es una cepa de malware con capacidades de puerta trasera. Hammertoss se atribuye a un grupo ruso llamado APT29 y ha sido descubierto por los investigadores en FireEye Inc. Ellos han estado vigilando de cerca las actividades de APT29 e incluso sospechar que el grupo de piratas informáticos 'tiene algo que ver con el gobierno ruso.
Etapas Hammertoss Ataque Explicación
El ataque de Hammertoss consta de cinco etapas y afecta a clientes corporativos. La pieza de malware es bastante sofisticado, y sus creadores han asegurado para cubrir sus huellas en la forma más sigilosa. Los investigadores de FireEye han identificado una serie de técnicas. Aquí es cómo funciona la herramienta maliciosa:
-
1. El empleo de los servidores web de fiar - Twitter, GitHub, para recuperar comandos.
2. Algoritmos que inician todos los días y las manijas de Twitter automatizados.
3. El empleo de aperturas programadas en una fecha determinada o en un período determinado, normalmente semana de trabajo de la víctima.
4. Incorporación de imágenes con comandos y datos cifrados.
5. Utilizando una red comprometida para subir archivos y extraer información a través de servicios en la nube.
La operación comienza con Hammertoss Twitter. Aquí es donde el malware se busca primero las instrucciones. El algoritmo genera las manijas diarias de Twitter. Para hacer eso, se emplea un nombre base, por ejemplo, Micro, y tres valores CRC32 en base a la fecha se crean. Aquí está un ejemplo del nombre base - labMike.52b. La dirección URL será algo así como hxxps://twitter.com/1abMike52b. Si mango de un día no se ha registrado o que se encuentran, así como la propia dirección URL, Hammertoss se establece que esperar hasta el día siguiente para intentar una vez más para conectar con otro mango. Poco dicho, el malware Hammertoss se mezcla en el entorno de la víctima y puede permanecer latente hasta que es activado.
El hashtag Explicación
Si APT29 ha registrado mango día de un particular,, Posteriormente, el grupo twittear una URL y un hashtag. La URL se utiliza para dirigir Hammertoss a un sitio web que contiene una o varias imágenes. El hashtag sí mismo se utiliza para proporcionar un número de ubicación y caracteres para subjoining a una clave de cifrado para descifrar las instrucciones dentro de la imagen.
El tweet malicioso contiene un hashtag con instrucciones para extraer los datos cifrada del archivo de imagen dañada. Los caracteres que se emplearán para el proceso de descifrado son 'docto', tan visible en la imagen proporcionada por el equipo de investigadores FireEye.
APT29 Grupo de hackers. ¿Quién está detrás de él?
De acuerdo con los investigadores de FireEye, APT29 está más probable es patrocinado por el gobierno ruso. Echar un vistazo a las víctimas y los objetivos del grupo es suficiente para hacer una conclusión. Además, actividades maliciosas del grupo suelen tener lugar durante los días festivos oficiales rusos. La zona horaria de sus ataques por lo general se fijó en TC +3 - La zona horaria de ciudades como Moscú y San Petersburgo. El calendario y el rendimiento general de la APT29 hablan a cabo una estricta disciplina y la coherencia, lo que los convierte en uno de los mejores - y más temibles equipos de hackers por ahí.
Uno de los patrones que difiere del grupo de otros equipos de la piratería es la técnica anti-forense se utiliza para confundir a los investigadores forenses y sus métodos. Otra característica sigiloso que se encuentra en los ataques de APT29 es el monitoreo de los esfuerzos de la víctima para derrocarlos. Sus piezas de malware siempre se desarrollan rápidamente gracias a las herramientas de modificación que utilizan para la detección de sabotaje.
En resumen, Hammertoss está diseñado para deteriorar las capacidades y esfuerzos para reconocer las cuentas de Twitter utilizados para las actividades de mando y control de la red de defensores ', prever el tráfico de red malévola de la actividad legítima, y descubrir las cargas maliciosas activan y descargados por el malware.
Para entender completamente cómo funciona el software malicioso Hammertoss, echar un vistazo a la informe.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: