Casa > Cyber ​​Notizie > Spiegazione del malware backdoor Hammertoss del gruppo russo APT29
CYBER NEWS

Hammertoss Backdoor malware da russo Gruppo APT29 Explained

Nome Hammertoss
Tipo backdoor Malware, ceppo Malware
breve descrizione Hammertoss impiega servizi web legit, utilizza algoritmi furtivi ed è persistente per i ricercatori di medicina legale’ rivelazione.
Strumento di rilevamento Scarica Anti-Malware Strumento, Per verificare se il sistema è stata colpita da Hammertoss

Un nuovo malware russo è emerso il Web. Si chiama Hammertoss ed è un ceppo del malware con funzionalità di backdoor. Hammertoss è attribuito a un gruppo russo chiamato APT29 ed è stato scoperto da ricercatori della FireEye Inc. Essi hanno seguito da vicino le attività di APT29 e persino il sospetto che gli hacker del gruppo 'ha a che fare con il governo russo.

p16_0000

Fasi Hammertoss attacco Explained

L'attacco di Hammertoss si compone di cinque tappe e colpisce clienti aziendali. Il pezzo di malware è piuttosto sofisticato, ed i suoi creatori hanno rassicurato per coprire le loro tracce nel modo 'nascosti. I ricercatori della FireEye hanno identificato una serie di tecniche. Ecco come lo strumento dannoso opera:

    1. Impiegando server web legit - Twitter, GitHub, per recuperare i comandi.

    2. Algoritmi avvio quotidiana e maniglie automatizzati Twitter.

    3. Impiegando inizia a tempo in una data particolare o entro un determinato periodo, di solito settimana lavorativa della vittima.

    4. Incorporare le immagini con i comandi e dati criptati.

    5. Utilizzando una rete compromessa per caricare i file ed estrarre le informazioni tramite servizi cloud.

L'operazione Hammertoss inizia con Twitter. Questo è dove il malware cerca prima per le istruzioni. L'algoritmo genera maniglie quotidiane Twitter. Per fare questo, un basename è impiegato, per esempio, Microfono, e sono stati creati tre valori CRC32 in base alla data. Ecco un esempio del basename - labMike.52b. L'URL sarà qualcosa di simile hxxps://twitter.com/1abMike52b. Se la maniglia di un giorno non è registrato o trovata, così come l'URL stesso, Hammertoss è impostato per aspettare fino al giorno successivo per tentare ancora una volta di connettersi con un altro manico. Poco detto, il malware Hammertoss si fondono nell'ambiente della vittima e può rimanere in sospeso fino a quando attivato.

L'hashtag Twitter Explained

Se APT29 ha registrato un particolare manico giorno, il gruppo sarà poi twittare un URL e un hashtag. L'URL viene utilizzato per indirizzare Hammertoss a un sito web che ha una o più immagini. L'hashtag stesso viene utilizzato per fornire un numero di posizione e caratteri per subjoining di una chiave di crittografia per decifrare le istruzioni all'interno dell'immagine.

hashtag-Tweet-hammertoss-malware

Il tweet dannoso contiene un hashtag con le istruzioni per estrarre i dati crittografati dal file di immagine danneggiato. I caratteri di essere impiegato per il processo di decodifica sono 'docto', come visibile l'immagine fornita dal team di ricercatori FireEye.

APT29 gruppo hacker. Chi c'è dietro?

Secondo i ricercatori del FireEye, APT29 è probabilmente sponsorizzata dal governo russo. Avere uno sguardo alle vittime e gli obiettivi del gruppo è abbastanza per fare una tale conclusione. Inoltre, attività dannose del gruppo si svolgono durante le festività ufficiali russi. Il fuso orario per i loro attacchi di solito è fissato a TC +3 - Il fuso orario per città come Mosca e St Petersburg. Il calendario e le prestazioni generali di APT29 parlano fuori disciplina stretto e coerenza, che li rende uno dei migliori - e più spaventosi squadre di hacking là fuori.

Uno dei modelli che si differenzia il gruppo da altre squadre di hacking è la tecnica anti-forense usato per confondere gli investigatori forensi e ai loro metodi. Un'altra caratteristica furtivo trovato negli attacchi di APT29 è il monitoraggio degli sforzi della vittima di rovesciare loro. I loro pezzi di malware sono sempre rapidamente sviluppate grazie agli strumenti di modifica che utilizzano per sabotare il rilevamento.

Per riassumere, Hammertoss è stato progettato per ridurre la capacità e gli sforzi per riconoscere account Twitter utilizzati per le operazioni di comando e controllo difensori di rete ', prevedere il traffico di rete malevola da un'attività legittima, e scoprire il payload dannosi attivati ​​e scaricati dal malware.

Per comprendere appieno come funziona di malware Hammertoss, hanno uno sguardo alla rapporto.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo