Accueil > Nouvelles Cyber > Dernier cheval de Troie Luckymouse contre les institutions gouvernementales
CYBER NOUVELLES

Dernières Luckymouse Trojan IMPUTATION institutions gouvernementales

Les experts en sécurité rapportent que le groupe Hacking LuckyMouse a mis au point une nouvelle menace malveillante qui utilise un modèle de comportement d'infiltration très avancé. Ce nouveau LuckyMouse cheval de Troie a la capacité d'infecter les réseaux de haut niveau et est considéré comme une infection critique.




Luckymouse Trojan attaques dans le passé

Le groupe LuckyMouse le piratage et son arme principale appelée LuckyMouse de Troie sont un collectif criminel notoire qui est bien connu pour causer des campagnes d'attaque fort impact. L'une des attaques les plus connues impliquant une itération précédente de LuckyMouse est le Juin 2018 attaque. Le groupe a lancé une attaque contre un centre national de données situé en Asie centrale. Les chercheurs en sécurité ont découvert que les criminels ont pu accéder au réseau restreint et ses ressources gouvernementales.

Un modèle de comportement complexe a été observé ce qui a pu contourner tous les systèmes de sécurité qui ont été placés et configurés pour repousser les attaques. Selon les rapports publiés au moment suite à l'infection, les experts en sécurité mettent en valeur qu'il ne sait pas qui est le principal mécanisme d'infiltration. On soupçonne que les attaques ont été par un document infecté. Les analystes ont pu acquérir des documents qui comprenaient des scripts en profitant du CVE-2017-118822 Une vulnérabilité dans Microsoft Office. On croit que l'interaction avec elle a conduit au déploiement du compte-gouttes de la charge utile initiale. La description de l'avis lit ce qui suit:

Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, et Microsoft Office 2016 permettre à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur actuel en ne gère pas correctement des objets en mémoire, alias “Vulnérabilité Microsoft Office de corruption de mémoire”. Cet ID CVE est unique de CVE-2017-11884.

A partir de là plusieurs avancées protection furtive modules afin de cacher l'infection de tous les services de sécurité:

  • Un module légitime de service de bureau à distance qui est utilisé pour charger une DLL malveillante.
  • Un fichier DLL qui lance le cheval de Troie LuckyMouse décompresseur.
  • L'instance de décompresseur.

Par conséquent l'instance de Troie sera déployé aux hôtes infectés et brancher aux processus du système et des applications individuelles. Cela permet aux criminels d'espionner les victimes et redirigent également aux utilisateurs de fausses pages de connexion, keylogger et mouvement de la souris et etc. Dans cette attaque, les analystes ont fait remarquer que les criminels ont pu injecter une URL qui a donné lieu à la livraison de code malveillant.

Le résultat final est que les pirates chinois ont pu infiltrer un centre national de données, par toutes les normes cela est perçu comme un risque critique.

histoire connexes: Hakai Iot Botnet Salaires guerre contre D-Link et les routeurs Huawei

Luckymouse Techniques d'infection Trojan

Nous avons reçu des rapports d'une nouvelle instance LuckyMouse cheval de Troie qui semble être une version fortement modifiée des anciennes variantes.

On croit que le groupe originaire de Chine, une nouvelle preuve de cela est le fait que les souches utilisent signatures de sécurité d'une société chinoise. Il est un développeur de logiciels de sécurité de l'information basée à Shenzhen. La voie d'infection est un NDISProxy malveillant. Bien qu'il y ait peut-être un logiciel légitime les pirates ont créé leur propre version en utilisant les signatures numériques détournés de la société - tant dans leur 32 et les versions 64 bits. Lors de la découverte de l'incident, les analystes ont rapporté à la société responsable et CN-CERT.

Il semble que la distribution initiale du LuckyMouse cheval de Troie et sa version 32 bits a commencé à la fin de Mars 2018. On croit que les pirates informatiques utilisés réseaux déjà infectés pour propager les menaces.

Il existe plusieurs méthodes que les criminels peuvent utiliser pour diffuser les fichiers de virus:

  • Les courriels d'hameçonnage - Les pirates peuvent construire des messages qui font passer pour des notifications légitimes des services Internet ou d'autres sites que les utilisateurs reçoivent pourraient utiliser. Les fichiers de virus peuvent être directement attachés ou liés dans le contenu du corps.
  • Les transporteurs Payload - Le moteur malveillant peut être intégré sous diverses formes telles que documents (d'une manière similaire aux attaques précédentes) ou des installateurs d'application. Les pirates peuvent LuckyMouse pirater les programmes d'installation de logiciels légitimes des applications bien connues que les utilisateurs finaux utilisent généralement: utilitaires système, suites de la créativité et des solutions de productivité. Ils peuvent ensuite être distribués sur les différents sites, e-mails et autres moyens.
  • Réseaux de partage de fichiers - BitTorrent et d'autres réseaux similaires qui sont souvent utilisés pour diffuser le contenu des pirates peuvent également être utilisés par les pirates. Ils peuvent fournir soit les fichiers de virus autonomes ou les porteurs de charge utile.
  • scripts - Les attaques précédentes ont utilisé un modèle d'infection complexe qui dépend en fin de compte un script de déploiement final. L'installation du pilote peut être appelé par des scripts qui peuvent être soit intégrés dans diverses applications ou services ou reliés par des pages Web. Dans certains cas, le comportement malveillant peut être observé au moyen d'éléments ordinaires tels que réoriente, bannières, les publicités, pop-ups et etc.
  • Plugins Navigateur Web - plugins navigateur web malveillants peuvent être programmés par les pirates afin de propager l'infection. Ils sont généralement rendus compatibles avec les navigateurs web les plus populaires et sont téléchargées vers les référentiels pertinents. Ils utilisent des faux commentaires des utilisateurs et des informations d'identification de développement ainsi qu'une description élaborée afin de contraindre les utilisateurs à les télécharger. Lors de l'installation des victimes trouveront que leurs paramètres peuvent être modifiés afin de rediriger vers un site contrôlé pirate informatique. Le cheval de Troie LuckyMouse sera installé automatiquement.

Le cheval de Troie Luckymouse a un moteur système avancé de manipulation

Lors de l'installation du pilote NDIS infecté le fichier d'installation vérifie le système et charger la version appropriée - 32 bits ou 64 bits. Tout comme les installations régulières du moteur d'installation enregistrera les étapes dans un fichier journal. Lorsque le pilote signé est déployé sur le système enregistrera également ce le code du virus dans le Registre Windows sous forme cryptée. L'étape suivante est la mettre en place des services correspondants autotart - le cheval de Troie LuckyMouse démarre automatiquement une fois que l'ordinateur est sous tension. AVERTISSEMENT! dans certains cas, il peut désactiver l'accès au menu de récupération.

L'objectif principal est d'infecter la mémoire de processus système lsass.exe. C'est le processus principal du système d'exploitation qui est chargé de faire respecter la politique de sécurité prédéfinie. Il est responsable de plusieurs processus, y compris les éléments suivants: vérification de l'utilisateur, mot de passe change, jetons d'accès création, modifications du journal de sécurité Windows et etc.

Le pilote réseau malveillant puis définissez le canal de communication au port RDP 3389 laquelle les pirates permet de mettre en place une connexion sécurisée aux hôtes vulnérabilisés. actions malveillantes sont les suivantes:

  • Télécharger et exécution d'autres programmes malveillants - Les ordinateurs infectés peuvent être commandés en téléchargeant et en exécutant un fichier choisi par les contrôleurs criminels.
  • exécution commande - Le LuckyMouse cheval de Troie peut exécuter des commandes à la fois l'utilisateur et des privilèges d'administrateur.
  • Surveillance - Les criminels peuvent surveiller les victimes et espionner leurs activités à tout moment.
  • Lancer des attaques réseau - Le code LuckyMouse cheval de Troie peut être utilisé pour diffuser davantage les souches. Cela peut se faire soit automatiquement, soit manuellement par le déclenchement des commandes de test de pénétration.

Objectifs et incidents LuckyMouse de Troie

Les analystes de sécurité ont détecté que les attaques portant le cheval de Troie LuckyMouse semblent cibler principalement les institutions gouvernementales asiatiques. Le fait que les échantillons de virus ont été personnalisés pour suivre ce modèle de comportement exact suggère que la planification a été entreprise importante avant le lancement. Il n'y a pas d'informations claires sur les intentions des pirates mais il est spéculé qu'ils peuvent être politiquement motivés.




Il est clair que le collectif criminel est très expérimenté et que des campagnes futures et le code du virus mis à jour est susceptible de se produire. L'un des faits troublants est que toutes les attaques de LuckyMouse jusqu'à présent ont été identifiés après l'infection. Cela signifie qu'il ya eu un délai entre les attaques et leurs identifications. Chaque version est mise à jour avec une base de code encore plus avancé les administrateurs système doivent être encore plus prudent lors de la supervision de leurs systèmes.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord