Les collectifs criminels deviennent actifs contre les réseaux informatiques dans le monde entier. Les experts ont détecté une nouvelle vague d'attaques qui sont orchestrées par les pirates contre divers ordinateurs Rancour situés en Asie tirant parti de la PLAINTEE et les familles de logiciels malveillants DDKONG. Ce groupe a été précédemment connu pour la création de chevaux de Troie personnalisés dans des attaques ciblées contre les organisations.
Découverte des pirates informatiques Rancour et leur PLAINTTEE et DDKONG Malware
les attaques de pirates ciblées sont devenus l'une des tactiques les plus dangereuses au cours des deux dernières années. Ils peuvent avoir des conséquences encore plus compter dommageables car ils le plus souvent sur les failles de sécurité et les infections informatiques en utilisant le code personnalisé ou des souches sophistiquées de Troie. Ceci est la raison pour laquelle ils peuvent être beaucoup plus dévastateurs que les infections virales ordinaires, y compris ceux qui ransomware.
a été découvert le collectif criminel suite à une analyse d'une menace connue sous le nom KHRAK cheval de Troie. Il a été utilisé dans une attaque sophistiquée en Août 2017 contre les utilisateurs d'ordinateurs au Cambodge. La principale méthode de distribution a été l'utilisation des documents Microsoft Word infectés qui a utilisé des tactiques d'ingénierie sociale pour infecter autant d'utilisateurs que possible. Une fois que les macros intégrées (scripts) sont activés le moteur intégré va lancer une commande de téléchargement qui récupère le reste du virus. L'analyse de sécurité montre que les demandes de réseau utilisent une adresse de domaine faux DropBox qui est une astuce utilisée pour empêcher les administrateurs système et les contre-mesures de défense automatisées de détection des opérations suspectes.
À la suite de son installation, il sera mis en place un Troyen instance qui se connecte à un serveur contrôlé hacker. Cela permet aux pirates Rancor d'espionner les victimes, déployer des menaces supplémentaires et aussi prendre le contrôle des machines à tout moment.
Le cheval de Troie KHRAK est un élément important du puzzle comme il a été constaté qu'une stratégie similaire est actuellement exploité contre des cibles en Asie. La façon dont les infections sont effectuées montrent que les mêmes acteurs sont derrière les attaques en cours. Les rapports montrent que le collectif vise Singapour et Cambodge.
Le Rancor Hackers Effet de levier PLAINTTEE et DDKONG Malware contre des cibles asiatiques
Les attaques utilisent une nouvelle fois les messages de spam de courrier électronique comme méthode principale de la distribution. Les rapports indiquent que les pirates utilisent Rancor éléments tirés des articles de presse qui mettent l'accent principalement sur les nouvelles politiques et les événements contemporains. Cela donne aux experts une raison de croire que les attaquants ciblent principalement les entités politiques.
L'une des caractéristiques les plus dangereuses des messages électroniques est qu'ils sont hébergés sur assoit légitime, y compris ceux qui sont hébergés par le gouvernement du Cambodge et les réseaux sociaux, y compris Facebook. Lors de l'analyse des spécialistes de la sécurité notent que certaines des commandes KHRAT cheval de Troie et les serveurs sont utilisés. Il y a deux groupes distincts (nommé “groupe A” et “groupe B”) qui utilisent des stratégies de phishing séparées. Cette étape est effectuée afin d'augmenter le taux d'infection.
Capacités DDKONG Malware
L'analyse de code du malware DDKONG montre que les premières versions de celui-ci remontent à Octobre 2017. Cela montre qu'il est très possible que le code du virus peut avoir été partagé avec d'autres groupes ou pirates.
DDKong est composé de trois parties: ServiceMain, Rundll32Call et DllEntryPoint. Lorsque la première partie est exécuté, il va se charger en tant que service, puis lancer le second module. Ceci est fait afin de permettre une l'installation persistante. Des menaces similaires modifient le système en désactivant certains menus de récupération et les modes et font le virus démarrer automatiquement lorsque l'ordinateur est démarré. Cela rend la suppression manuelle de l'utilisateur très difficile.
La fonction Rundll32Call démarre un moniteur de service qui assure une seule instance est en cours à un moment. Le troisième module est livré sous une forme codée et décodée en direct sur le système une fois les deux modules précédents ont réussi en cours d'exécution. Cette étape est nécessaire afin d'éviter que le logiciel de sécurité de l'utilisation des analyses basées sur les signatures pour détecter les logiciels malveillants finale. Le dernier module (DllEntryPoint) crée une connexion sécurisée à un serveur contrôlé pirate informatique qui est utilisé pour signaler les infections. Il permet également aux pirates d'installer d'autres menaces, espionner les victimes et prendre le contrôle des machines.
Capacités PLAINTEE Malware
Le malware PLAINTEE est une menace sophistiquée qui a été trouvé à utiliser un protocole UDP personnalisé pour communiquer avec les pirates. Comme DDKONG il utilise des e-mails de phishing pour l'infection initiale et dès que le logiciel malveillant fait son chemin sur les machines cibles, il va commencer son modèle de comportement intégré.
L'analyse de code sur les souches capturées montre que les premières actions faites par la menace sont liés à la Registre de Windows. Le virus s'installe comme menace persistante par lui-même de masquage en tant que “Microsoft Audio” service. Il crée une nouvelle entrée de dossier qui se présente comme un composant appartenant au système d'exploitation. À la suite de ce moniteur de service du système est appelé qui surveille et fait en sorte que seule une instance en cours d'exécution est à la fois.
L'étape suivante consiste à exécuter une la récolte de données moteur qui est utilisé pour le produit identification unique utilisateur. La liste des valeurs recueillies comprend les informations suivantes:
- Spécifications du processeur & Mémoire installée
- Carte mère et composants installés
- Paramètres régionaux
- Valeurs du système d'exploitation-Set utilisateur
Comme les logiciels malveillants DDKONG cette menace particulière utilise également un protocole de sécurité personnalisé pour communiquer avec les serveurs contrôlés hacker. Les données récoltées sont automatiquement envoyées et une séquence de réponse et la demande est établie. Les interactions observées signalent que les pirates peuvent utiliser diverses commandes. Ainsi que la récupération de la liste des données sensibles, la connexion peut être utilisé pour déployer des menaces supplémentaires.
L'analyse menée révèle que le moteur peut également récupérer la liste des applications et services en cours d'exécution, ainsi que les connexions réseau disponibles. Cela peut être utilisé pour déployer des menaces supplémentaires, prendre le contrôle de leurs machines et espionner les utilisateurs en temps réel.
Conséquences de la PLAINTTEE et DDKONG Malware infections par les pirates informatiques Rancor
Les attaques en cours qui proviennent des pirates Rancor semblent cibler uniquement la région Asie du Sud-Est. Il est très probable qu'ils viennent d'un pays situé dans ce domaine car ils utilisent un système de phishing à base d'ingénierie sociale sophistiquées. L'un des aspects les plus dangereux de la menace est qu'il utilise des protocoles personnalisés, cette fois élude la détection des logiciels malveillants ainsi par un logiciel de sécurité ainsi que l'analyse des réseaux.
La conclusion de l'analyse confirme une nouvelle fois que les souches complexes comme celui-ci sont particulièrement dangereuses. L'enquête se poursuit comme les chercheurs de sécurité continuent de surveiller le paysage des logiciels malveillants.