| Nom | Hammertoss |
| Type | Backdoor Malware, Souche Malware |
| brève description | Hammertoss emploie services Web légitimes, utilise des algorithmes furtifs et est persistante pour les chercheurs en médecine légale’ détection. |
Un nouveau malware russe a fait surface sur le Web. Il est appelé Hammertoss et est une souche malware avec des capacités de backdoor. Hammertoss est attribuée à un groupe russe appelé APT29 et a été découvert par des chercheurs de FireEye Inc. Ils ont surveillé de près les activités de APT29 et même soupçonner que le groupe des hackers a quelque chose à voir avec le gouvernement russe.
Étapes Hammertoss Attaque expliquée
L'attaque de Hammertoss se compose de cinq étapes et affecte les clients corporatifs. La pièce est très sophistiqué malware, et ses créateurs ont rassuré pour couvrir leurs traces dans la façon plus sournoise. Les chercheurs de FireEye ont identifié une série de techniques. Voici comment fonctionne l'outil malveillant:
-
1. Employant serveurs Web légitimes - Twitter, GitHub, pour récupérer des commandes.
2. Algorithmes initiateurs quotidienne et poignées Twitter automatisés.
3. Employant commence chronométrés à une date donnée ou dans un délai donné, habituellement semaine de travail de la victime.
4. Incorporation des photos avec les commandes et les données cryptées.
5. Utilisation d'un réseau compromis pour télécharger des fichiers et extraire des informations via des services de cloud computing.
L'opération Hammertoss commence avec Twitter. Ceci est où le malware recherche d'abord les instructions. L'algorithme génère poignées quotidiennes Twitter. Pour ce faire,, un nom de base est utilisée, par exemple, Mike, et trois valeurs CRC32 fonction de la date sont créés. Voici un exemple de l'basename - labMike.52b. L'URL sera quelque chose comme hxxps://twitter.com/1abMike52b. Si la poignée d'une journée est pas enregistré ou trouvé, ainsi que l'adresse URL lui-même, Hammertoss est mis à attendre le lendemain pour essayer encore une fois de se connecter avec un autre manche. Peu dit, le malware Hammertoss va se fondre dans l'environnement de la victime et peut rester en dormance jusqu'à activé.
A expliqué le hashtag Twitter
Si APT29 a enregistré poignée d'un particulier jour, le groupe sera alors tweeter une URL et un hashtag. L'URL est utilisée pour diriger Hammertoss à un site Web qui a une ou plusieurs images. Le hashtag lui-même est utilisé pour fournir un numéro d'emplacement et de caractères pour subjoining d'une clé de chiffrement pour déchiffrer les instructions dans l'image.
Le tweet malveillant contient un hashtag avec des instructions pour extraire des données cryptées à partir du fichier image corrompu. Les caractères à utiliser pour le processus de décryptage sont 'Docto', comme visible sur l'image fournie par l'équipe de chercheurs FireEye.
APT29 pirates Groupe. Qui se cache derrière?
Selon les chercheurs de FireEye, APT29 est plus probable parrainé par le gouvernement russe. Avoir un regard sur les victimes et les cibles du groupe est assez pour faire une telle conclusion. En outre, activités malveillantes du groupe ont généralement lieu pendant les vacances officielles russes. Le fuseau horaire de leurs attaques est généralement fixé à TC +3 - Le fuseau horaire pour les villes comme Moscou et Saint-Pétersbourg. Le calendrier et la performance globale de APT29 parole sur une discipline rigoureuse et de la cohérence, ce qui les rend l'un des meilleurs - et les plus effrayants des équipes de piratage là-bas.
Un des motifs qui diffère du groupe des autres équipes de piratage est la technique anti-légale utilisée pour déjouer enquêteurs judiciaires et leurs méthodes. Une autre caractéristique furtive trouvé dans les attaques de APT29 est le suivi des efforts de la victime pour les renverser. Leurs morceaux de logiciels malveillants sont toujours développées rapidement grâce aux outils de modification qu'ils utilisent pour saboter la détection.
Pour résumer, Hammertoss est conçu pour altérer les capacités et les efforts pour reconnaître comptes Twitter utilisés pour les opérations de commandement et contrôle du réseau de défenseurs, prévoir le trafic réseau malveillant d'activité légitime, et de découvrir les charges malveillantes activés et téléchargés par le malware.
Pour bien comprendre le fonctionnement de logiciels malveillants Hammertoss, jeter un oeil à la rapport.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: