Casa > Ciber Noticias > El último troyano Luckymouse contra instituciones gubernamentales
CYBER NOTICIAS

Última serie de instituciones gubernamentales contra Luckymouse de Troya

Los expertos en seguridad dicen que el grupo LuckyMouse piratería ha ideado una nueva amenaza malicioso que utiliza un patrón de comportamiento de infiltración muy avanzada. Esta nueva LuckyMouse troyano tiene la capacidad de infectar a las redes de alto perfil y se considera una infección crítica.




Los ataques Luckymouse de Troya en el pasado

El grupo de hackers LuckyMouse y su principal arma llamada la LuckyMouse de Troya son un colectivo notorio criminal que es bien conocido por causar campañas de ataque de alto impacto. Uno de los ataques más reconocibles que implican una iteración anterior de LuckyMouse es JUNIO 2018 ataque. El grupo lanzó un ataque contra un centro de datos nacional situado en Asia Central. Los investigadores de seguridad descubrieron que los delincuentes pudieron acceder a la red restringida y sus recursos gubernamentales.

Un patrón de comportamiento complejo se observó que era capaz de pasar por alto todos los sistemas de seguridad que fueron colocados y configurados para repeler los ataques. De acuerdo a los informes dados a conocer en el momento después de la infección por los expertos en seguridad escaparate que no se sabe que es el principal mecanismo de infiltración. Se sospecha que los ataques fueron a través de una documento infectado. Los analistas pudieron adquirir los documentos que incluían secuencias de comandos que se aprovechan de la CVE-2017-118822 vulnerabilidad en Microsoft Office. Se cree que la interacción con ello ha llevado a la implementación del gotero inicial de carga útil. Descripción de la asesoría lee el siguiente:

Microsoft Office 2007 Paquete de servicio 3, Microsoft Office 2010 Paquete de servicio 2, Microsoft Office 2013 Paquete de servicio 1, y Microsoft Office 2016 permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual al no manejar adecuadamente objetos en memoria, aka “La vulnerabilidad de Microsoft Office daños en la memoria”. Este ID CVE es único de CVE-2.017-11.884.

De allí en varias avanzada la protección de sigilo módulos con el fin de ocultar la infección a partir de cualquiera de los servicios de seguridad:

  • Un módulo de servicio de escritorio remoto legítimo que se utiliza para cargar un archivo DLL malicioso.
  • Un archivo DLL que pone en marcha el descompresor LuckyMouse de Troya.
  • La instancia descompresor.

Como resultado de la instancia de Troya se desplegará a los huéspedes infectados y conectar a los procesos del sistema y las aplicaciones individuales. Esto permite a los criminales para espiar a las víctimas y también redirigir a los usuarios a páginas de inicio falsas, registrar pulsaciones de teclas y movimientos del ratón y etc.. En este ataque los analistas observaron que los criminales fueron capaces de inyectar un URL que dio lugar a la entrega de código malicioso.

El resultado final es que los piratas informáticos chinos fueron capaces de infiltrarse en un centro nacional de datos, por todos los estándares de esto se percibe como un riesgo crítico.

Artículo relacionado: Los salarios Hakai Iot Botnet guerra contra D-Link Routers y Huawei

Técnicas de infección de Troya Luckymouse

Hemos recibido informes de una nueva instancia LuckyMouse de Troya que parece ser una versión muy modificada de ex variantes.

Se cree que el grupo se origina desde China, nueva prueba de ello es el hecho de que las cepas hacen uso de firmas de seguridad de una empresa china. Es un desarrollador de software de seguridad de la información con sede en Shenzhen. La vía de infección es una NDISProxy malicioso. Si bien puede ser un software legítimo que los hackers han creado su propia versión mediante el uso de las firmas digitales secuestrados de la compañía - tanto en su 32 y versiones de 64 bits. Tras el descubrimiento del incidente los analistas informó de esto a la empresa y CN-CERT.

Parece ser que la distribución inicial de la LuckyMouse de Troya y su versión de 32 bits ha comenzado a finales de marzo 2018. Se cree que los piratas informáticos utilizan las redes que ya están infectadas se propagan a las amenazas.

Hay varios métodos que los delincuentes pueden utilizar para difundir los archivos de virus:

  • correos electrónicos de phishing - Los piratas informáticos pueden construir los mensajes que suponen las notificaciones legítimas de servicios de Internet o sitios que los usuarios que reciben podrían estar utilizando. Los archivos de virus pueden estar unidos o vinculados en el contenido del cuerpo directamente.
  • Los portadores de carga útil - El motor malicioso puede ser embebido en diversas formas, tales como documentos (de una manera similar a los ataques anteriores) o instaladores de aplicaciones. Los piratas informáticos LuckyMouse pueden secuestrar los instaladores de software legítimos de aplicaciones conocidas que los usuarios finales suelen utilizar: utilidades del sistema, suites creatividad y soluciones de productividad. A continuación, pueden ser distribuidos en los diferentes sitios, correos electrónicos y otros medios.
  • Redes de intercambio de archivos - BitTorrent y otras redes similares que a menudo se utilizan para difundir el contenido pirata también se pueden utilizar por los hackers. Ellos pueden ofrecer cualquiera de los archivos de virus independientes o los portadores de carga útil.
  • Guiones - Los ataques anteriores usaron un patrón de infección compleja que en última instancia depende de una secuencia de comandos despliegue final. La instalación del controlador puede ser llamado por los scripts que pueden integrarse bien en varias aplicaciones o servicios o enlazados a través de páginas web. En algunos casos, el comportamiento malicioso puede ser observada a través de elementos comunes, como redirecciones, banners, anuncios, pop-ups y etc..
  • Navegador Web Plug-ins - plugins del navegador Web maliciosos pueden ser programados por los piratas informáticos con el fin de propagar la infección. Por lo general son compatibles con los navegadores web más populares y se cargan en los repositorios relevantes. Hacen uso de falsos comentarios de usuarios y credenciales de desarrollador, junto con una descripción detallada con el fin de obligar a los usuarios los descarguen. Tras la instalación de las víctimas van a descubrir que sus configuraciones pueden ser cambiadas con el fin de redirigir a un sitio pirata informático controlado. El LuckyMouse troyano se instala automáticamente.

El Luckymouse troyano tiene un motor Manipulación avanzada del sistema

Tras la instalación del controlador NDIS infectado el archivo de instalación comprobará el sistema y cargar la versión apropiada - de 32 bits o 64 bits. Al igual que las instalaciones normales el motor de instalación registrará los pasos en un archivo de registro. Cuando el controlador firmado se implementa en el sistema de esta también se registrará en el código del virus en el registro de Windows de forma encriptada. El siguiente paso es la puesta en marcha de los servicios correspondientes autotart - la LuckyMouse troyano se inicia automáticamente una vez que el ordenador está encendido. ADVERTENCIA! en algunos casos, puede desactivar el acceso al menú de recuperación.

El principal objetivo es infectar a la memoria de proceso del sistema lsass.exe. Este es el proceso principal del sistema operativo que se encarga de aplicar la política de seguridad predefinida. Es responsable de varios procesos que incluyen lo siguiente: Verificación de usuario, los cambios de contraseña, la creación de tokens de acceso, modificaciones del registro de seguridad de Windows y etc..

El controlador de red malicioso a continuación, establecer el canal de comunicaciones al puerto RDP 3389 cual permite a los piratas informáticos para establecer una conexión segura a los equipos comprometidos. acciones maliciosas incluyen los siguientes:

  • Descarga y ejecución de otro tipo de malware - Los ordenadores infectados pueden ser ordenados en descargar y ejecutar cualquier archivo elegido por los controladores criminales.
  • Ejecución de comandos - El LuckyMouse troyano puede ejecutar comandos con privilegios de usuario y administrativos tanto.
  • Vigilancia - Los criminales pueden monitorear las víctimas y espiar a sus actividades en todo momento.
  • Iniciar los ataques de red - El código LuckyMouse troyano que es utilizado para difundir las cepas más. Esto se puede hacer ya sea automáticamente o mediante la activación manualmente comandos de pruebas de penetración.

Objetivos LuckyMouse de Troya y los incidentes

Los analistas de seguridad han detectado que los ataques que llevan el LuckyMouse Troya parecen centrarse fundamentalmente en las instituciones gubernamentales de Asia. El hecho de que las muestras de virus se han personalizado para seguir este patrón de comportamiento exacto sugiere que la planificación significativa se ha llevado a cabo antes del lanzamiento. No hay información clara sobre las intenciones de los piratas informáticos sin embargo se especula que pueden estar motivados políticamente.




Está claro que el colectivo penal que es altamente experimentado y que las futuras campañas y código del virus actualizada es probable que suceda. Uno de los hechos preocupantes es que todos los ataques LuckyMouse hasta el momento se han identificado después de la infección. Esto significa que se ha producido un retraso entre los ataques y sus identificaciones. Como cada versión se actualiza con un código base aún más avanzada los administradores de sistemas tendrán que ser aún más cuidadoso cuando la supervisión de sus sistemas.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo