Blackgear è una campagna di spionaggio informatico in precedenza rilevato che risale al 2008. Il malware è stato conosciuto per indirizzare le organizzazioni in Giappone, Corea del Sud e Taiwan, con gli obiettivi in primo luogo essendo agenzie del settore pubblico e di imprese high-tech.
Secondo Trend Micro segnala da 2016, le campagne di malware sono stati rivolti a organizzazioni giapponesi, dove sono stati distribuiti vari strumenti di malware, come l'Elirks Backdoor. I continui attacchi e la persistenza di campagne Blackgear indicano che gli operatori di criminali informatici sono ben organizzati hanno sviluppato i propri strumenti che vengono periodicamente aggiornati e “messo a punto”, come osservato in un recente sicurezza informatica rapporto.
Caratteristiche malfunzionanti Blackgear
“Una caratteristica notevole Blackgear è il grado in cui sono prese suoi attacchi di eludere il rilevamento, abusando blogging, microblogging, e servizi di social media per nascondere il suo comando e controllo (C&C) configurazione“, Trend Micro ha detto. questa tecnica, che è diverso rispetto alla solita pratica di incorporare il comando e controllo i dettagli all'interno del malware aiuta gli operatori dannosi per cambiare rapidamente la loro C&server C ogni volta che è necessario. Questa tattica intelligente permette ai criminali di eseguire le loro campagne per tutto il tempo che desiderano.
Apparentemente, Blackgear ha utilizzato il downloader Marade insieme ad una versione di Protux nelle sue più recenti operazioni. Analizzando questi campioni dannosi, i ricercatori hanno trovato le loro configurazioni criptati su blog e messaggi di social media che possono essere un'indicazione che gli strumenti di malware sono stati realizzati dalla stessa banda di criminalità informatica.
Per capire meglio il funzionamento dei più recenti attacchi ricercatori Blackgear correlati gli strumenti e le pratiche criminali usati contro i loro bersagli. Ecco come la catena di attacco Blackgear va in giro:
- Gli aggressori utilizzano un documento esca o file di installazione falso, che si sviluppa via e-mail di spam per ingannare una potenziale vittima a interagire con i suoi contenuti dannosi.
- Il documento esca è impostato per estrarre il downloader Marade che si scende nella cartella Temp della macchina, aumentando la sua dimensione di file a più di 50 MB e bypassando soluzioni sandbox tradizionali.
- Poi Marade controlla se l'host infetto può connettersi a internet e se è installato con un programma anti-virus.
- Nel caso in cui l'host interessata può connettersi a internet e non ha alcuna protezione AV, procede Marade per la connessione a un blog pubblico Blackgear controllato (o inviati social media) ripercorrere una configurazione di comando e controllo criptato. Nel caso in cui non v'è alcuna connessione a internet, il malware utilizzerà il C&dettagli C incorporati nel suo codice.
- Le stringhe criptate servono da collegamento magnete per mantenere il suo traffico dannoso di essere rilevato da programmi AV. Poi, Marade decifrare le stringhe criptate e recuperare il C&informazioni sul server C.
- Il passo successivo è la distribuzione del backdoor Protux. Il C&Server C invierà Protux alla macchina colpita e lo esegue. Protux viene eseguito abusando della libreria di collegamento dinamico Rundll32 (DLL). E le prove di rete dell'host, recupera il C&Server C da un altro blog, e utilizza l'algoritmo RSA per generare la chiave di sessione e inviare informazioni al C&Server di C, i ricercatori hanno spiegato.
- Infine, strumenti di malware di Blackgear vengono consegnati ai sistemi mirati tramite RAR eseguibile autoestraente (SFX) file o ufficio Visual Basic Script (VBScript) per creare un documento esca.
L'ambito di Blackgear campagne
Blackgear è stato attivo per almeno un decennio, mira varie industrie in attacchi occulti. La potenza del malware sembra derivare dal modo in cui si può eludere il software di sicurezza tradizionali. Una di queste tecniche è il dispiegamento di due stadi di infezione per ogni attacco.
Perché la prima fase prevede solo profilazione e ricognizione, è molto probabile che l'obiettivo non può essere in grado di notare le intrusioni. Ci possono essere segni di intrusione, anche dopo la backdoor è caduto con successo al sistema di mira come gli autori Blackgear utilizzano servizi di microblogging e social media per recuperare C&informazioni C.
Secondo i ricercatori, Gli attacchi di Blackgear esemplificano la necessità per le organizzazioni di sviluppare e attuare strategie di sicurezza che possono proattivamente rispondere alle minacce e crimine informatico. Una tale strategia comprende una strategia di caccia minaccia, dove gli indicatori di attacco possono essere facilmente convalidate per determinare se le intrusioni sono una tantum tentativi o parte di una campagna più ampia.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: