Blackgear est une campagne d'espionnage cybernétique dépistée auparavant qui remonte à 2008. Le logiciel malveillant a été connu pour cible les organisations au Japon, Corée du Sud et Taiwan, les cibles étant principalement des organismes du secteur public et les entreprises high-tech.
Selon les rapports de Trend Micro 2016, les campagnes de programmes malveillants ont été adressées à des organismes japonais où divers outils logiciels malveillants ont été déployés, tels que le Elirks Backdoor. Les attaques continues et la persistance des campagnes Blackgear indiquent que les opérateurs cybercriminelles sont bien organisés ont développé leurs propres outils qui sont mis à jour périodiquement et « peaufiné » comme il est indiqué dans une récente Cybersécurité rapport.
Blackgear Caractéristiques Malicious
“Une caractéristique notable de Blackgear est le degré auquel les attaques sont prises pour éviter la détection, blogging abus, microblogging, et les services de médias sociaux pour cacher sa commande et de contrôle (C&C) configuration“, Trend Micro a dit. cette technique, qui est différente de la pratique habituelle consistant à intégrer les détails de commande et de contrôle au sein du logiciel malveillant aide les opérateurs malveillants pour changer rapidement leur C&serveurs C chaque fois qu'il est nécessaire. Cette tactique astucieuse permet aux criminels d'exécuter leurs campagnes aussi longtemps qu'ils le souhaitent.
Apparemment, Blackgear a utilisé le téléchargeur Marade avec une version de Protux dans ses dernières opérations. Bien que l'analyse de ces échantillons malveillants, les chercheurs ont découvert leurs configurations chiffrées sur les messages des médias blog et sociaux qui peuvent être une indication que les outils de logiciels malveillants ont été fabriqués par le même gang de la cybercriminalité.
Pour mieux comprendre le fonctionnement des attaques les plus récentes Blackgear chercheurs ont corrélé les outils et les pratiques des criminels utilisés contre leurs cibles. Voici comment va la chaîne d'attaque autour Blackgear:
- Les pirates utilisent un document ou leurre fichier d'installation de faux, qui se propage par e-mail de spam pour tromper une victime potentielle en interaction avec son contenu malveillant.
- Le document leurre est mis à extraire le téléchargeur Marade qui se laisse tomber dans le dossier Temp de la machine, augmenter la taille du fichier à plus de 50 Mo et sans passer par des solutions de bac à sable traditionnels.
- Vérifie ensuite si Marade l'hôte infecté peut se connecter à Internet et si elle est installée avec un programme anti-virus.
- Dans le cas où l'hôte affecté peut se connecter à Internet et ne dispose pas de protection AV, procède Marade en se connectant à un blog public contrôlé Blackgear (ou après des médias sociaux) de revenir sur une configuration de commande et de contrôle crypté. Dans le cas où il n'y a pas de connexion internet, le logiciel malveillant utilisera le C&détails C intégrés dans son code.
- Les chaînes cryptées servent de lien aimant pour garder son trafic malveillant d'être détecté par les programmes audiovisuels. Puis, Marade décrypte les chaînes cryptées et récupérer le C&C informations sur le serveur.
- L'étape suivante est le déploiement de la porte dérobée Protux. Le C&serveur C envoie Protux à la machine concernée et l'exécuter. Protux est exécuté en abusant de la bibliothèque de liens dynamiques rundll32 (DLL). Il teste le réseau de l'hôte, récupère le C&serveur C d'un autre blog, et utilise l'algorithme RSA pour générer la clé de session et envoyer des informations au C&Serveur C, les chercheurs ont expliqué.
- Enfin, outils malveillants de Blackgear sont livrés à des systèmes ciblés par exécutable auto-extractible RAR (SFX) fichiers ou bureau Visual Basic Script (VBScript) pour créer un document de leurre.
La portée des campagnes Blackgear
Blackgear est actif depuis au moins une décennie, ciblant diverses industries dans les attaques secrètes. La puissance du logiciel malveillant semble provenir de la façon dont il peut se soustraire à un logiciel de sécurité traditionnel. Une telle technique est le déploiement de deux stades de l'infection pour chaque attaque.
Parce que la première étape ne concerne que le profilage et la reconnaissance, il est très possible que la cible ne peut pas être en mesure de remarquer les intrusions. Il peut y avoir aucun signe d'intrusion, même après la porte dérobée est sur le succès a chuté système ciblé comme les auteurs Blackgear utilisent les services médias microblogging et social pour récupérer C&C informations.
Selon les chercheurs, Les attaques de Blackgear illustrent la nécessité pour les organisations à élaborer et à mettre en œuvre des stratégies de sécurité qui peuvent répondre de façon proactive aux menaces et la cybercriminalité. Une telle stratégie comprend une stratégie de chasse menace, où les indicateurs d'attaque peuvent être facilement validés pour déterminer si les intrusions sont ponctuelles tentatives ou d'une partie d'une vaste campagne.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: