Casa > Cyber ​​Notizie > Ultimo Trojan Luckymouse impostato contro le istituzioni governative
CYBER NEWS

Gli ultimi Istituzioni Luckymouse Troia Set contro il governo

Gli esperti di sicurezza riferiscono che il gruppo LuckyMouse Hacking ha messo a punto una nuova minaccia dannoso che utilizza un modello molto avanzato comportamento infiltrazione. Questa nuova LuckyMouse Trojan ha la capacità di infettare le reti di alto profilo ed è considerato un'infezione critica.




Gli attacchi Trojan Luckymouse in passato

Il gruppo di hacker LuckyMouse e la sua arma principale chiamato LuckyMouse Trojan sono un collettivo noto criminale che è ben noto per causare campagne di attacco ad alto impatto. Uno degli attacchi più riconoscibili che coinvolgono una precedente iterazione del LuckyMouse è giugno 2018 attacco. Il gruppo ha lanciato un attacco contro un centro di dati nazionale situato in Asia Centrale. I ricercatori di sicurezza hanno scoperto che i criminali erano in grado di accedere alla rete con restrizioni e delle sue risorse statali.

Un modello di comportamento complesso è stato osservato che è stato in grado di bypassare tutti i sistemi di sicurezza che sono stati collocati e configurati per respingere gli attacchi. Secondo i rapporti pubblicati al momento dopo l'infezione gli esperti di sicurezza vetrina che non si sa che è il meccanismo di infiltrazione principale. Si sospetta che gli attacchi sono stati attraverso un documento infetto. Gli analisti sono stati in grado di acquisire i documenti che hanno incluso gli script approfittando della CVE-2017-118822 Una vulnerabilità in Microsoft Office. Si ritiene che l'interazione con esso ha portato alla distribuzione del contagocce carico iniziale. La descrizione del advisory legge la seguente:

Microsoft Office 2007 Pacchetto d'aggiornamento 3, Microsoft Office 2010 Pacchetto d'aggiornamento 2, Microsoft Office 2013 Pacchetto d'aggiornamento 1, e Microsoft Office 2016 consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente omettendo di gestire correttamente gli oggetti nella memoria, aka “Vulnerabilità di Microsoft Office al danneggiamento della memoria”. Questo ID CVE è unico da CVE-2.017-11.884.

Da lì in diverse avanzata protezione invisibile moduli in modo da nascondere l'infezione da eventuali servizi di sicurezza:

  • Un modulo di servizio di desktop remoto legittima che viene utilizzato per caricare una DLL dannoso.
  • Un file DLL che lancia il decompressore LuckyMouse Trojan.
  • L'istanza decompressore.

Di conseguenza l'istanza Trojan verrà distribuito agli host infetti e collegare a processi di sistema e le singole applicazioni. Questo permette ai criminali di spiare le vittime e anche reindirizzare gli utenti a pagine di login falsi, registrare le battiture e movimento del mouse ed ecc. In questo attacco gli analisti hanno osservato che i criminali erano in grado di iniettare un URL che ha portato alla consegna di codice maligno.

Il risultato finale è che gli hacker cinesi sono riusciti a infiltrarsi in un centro dati nazionale, da tutte le norme questo è percepito come un rischio critico.

Story correlati: Salari Hakai Iot botnet Guerra contro il D-Link e Huawei Router

Tecniche di infezione Luckymouse di Troia

Abbiamo ricevuto segnalazioni di una nuova istanza LuckyMouse Trojan che sembra essere una versione pesantemente modificata del ex varianti.

Si ritiene che il gruppo proviene dalla Cina, nuova prova di questo è il fatto che i ceppi fanno uso di firme di protezione di una società cinese. Si tratta di uno sviluppatore di software di sicurezza informatica con sede a Shenzhen. La via di infezione è un NDISProxy dannoso. Mentre ci può essere un software legittimi gli hacker hanno creato la propria versione utilizzando le firme digitali dirottati da parte della società - sia nella loro 32 le versioni a 64 bit e. Dopo la scoperta dell'incidente gli analisti hanno riferito questo per l'azienda e CN-CERT.

Sembra che la distribuzione iniziale del LuckyMouse di Troia e la sua versione a 32 bit è iniziata alla fine del mese di marzo 2018. Si ritiene che gli hacker utilizzate reti già infettati per propagare le minacce.

Ci sono diversi metodi che i criminali possono utilizzare per diffondere i file dei virus:

  • email di phishing - Gli hacker possono creare i messaggi che pongono le notifiche come legittimi dai servizi Internet o siti che gli utenti che ricevono potrebbero utilizzare. I file dei virus possono essere collegati direttamente o collegate nei contenuti del corpo.
  • I vettori payload - Il motore dannoso può essere incorporato in varie forme, come documentazione (in modo simile agli attacchi precedenti) o installatori di applicazione. Gli hacker LuckyMouse possono dirottare le installatori software legittimi di applicazioni ben note che gli utenti finali utilizzano in genere: utilità di sistema, suite creatività e soluzioni per la produttività. Essi possono quindi essere distribuiti sui vari siti, e-mail e altri mezzi.
  • File-sharing reti - BitTorrent e altre reti simili che sono spesso utilizzati per diffondere contenuti pirata possono essere utilizzati anche dagli hacker. Essi possono fornire sia i file dei virus stand-alone o portatori di payload.
  • Script - Gli attacchi precedenti hanno utilizzato un modello di infezione complesso che in definitiva dipendeva da uno script di distribuzione finale. L'installazione del driver può essere chiamato da script che possono essere sia integrati in varie applicazioni o servizi o collegati tramite le pagine web. In alcuni casi il comportamento dannoso può essere osservato attraverso elementi comuni come redirect, banner, Annunci, pop-up e ecc.
  • Web Browser Plugin - plugin del browser web dannoso possono essere programmati dagli hacker al fine di diffondere l'infezione. Di solito sono realizzati compatibile con i browser web più popolari e vengono caricati i repository rilevanti. Fanno uso di falsi recensioni degli utenti e le credenziali dello sviluppatore insieme ad una descrizione elaborata al fine di costringere gli utenti a scaricarli. Al momento dell'installazione le vittime potranno scoprire che le loro impostazioni possono essere modificate in modo da reindirizzare verso un sito di hacker controllato. Il LuckyMouse Trojan verrà installato automaticamente.

Il Luckymouse Trojan ha un motore Manipulation System Advanced

Al momento dell'installazione del driver NDIS infetto il file di installazione controllerà il sistema e caricare la versione appropriata - a 32-bit o 64-bit. Proprio come le installazioni regolari il motore di installazione registrerà la procedura descritta in un file di log. Quando il driver firmato viene distribuito al sistema questo si registrerà anche il codice del virus nel Registro di sistema di Windows in forma crittografata. Il passo successivo è la messa a punto di servizi corrispondente autotart - l'LuckyMouse Trojan verrà avviato automaticamente una volta che il computer è acceso. ATTENZIONE! in alcuni casi può disabilitare l'accesso al menu di ripresa.

L'obiettivo principale è quello di infettare la memoria processo di sistema lsass.exe. Questo è il processo principale del sistema operativo che è responsabile di far rispettare il criterio di protezione predefinito. E 'responsabile di diversi processi tra cui la seguente: verifica dell'utente, le modifiche delle password, creazione dei token di accesso, modifiche del registro di protezione di Windows ed ecc.

Il driver di rete dannoso sarà quindi impostare il canale di comunicazione alla porta RDP 3389 quale permette agli hacker di impostare una connessione sicura ai host compromessi. azioni dannose sono i seguenti:

  • Download e l'esecuzione di altro malware - I computer infetti possono essere ordinati in download e l'esecuzione di qualsiasi file scelto dai controllori criminali.
  • esecuzione di comandi - Il LuckyMouse Trojan può eseguire comandi sia con utenti e amministrative privilegi.
  • Sorveglianza - I criminali possono monitorare le vittime e spiare le loro attività in ogni momento.
  • Avviare attacchi di rete - Il codice LuckyMouse Trojan può essere utilizzato per diffondere ulteriormente i ceppi. Questo può essere fatto automaticamente o manualmente attivazione comandi test di penetrazione.

Obiettivi LuckyMouse di Troia e incidenti

Gli analisti della sicurezza hanno rilevato che gli attacchi che portano il LuckyMouse Trojan sembrano indirizzare in primo luogo le istituzioni governative asiatiche. Il fatto che i campioni di virus sono stati personalizzati a seguire questo modello esatto comportamento suggerisce che la pianificazione significativo è stato intrapreso prima del lancio. Non ci sono informazioni chiare circa le intenzioni degli hacker tuttavia si ipotizza che possano essere politicamente motivati.




E 'chiaro che che il collettivo criminale è di grande esperienza e che le future campagne e codice del virus aggiornato è probabile che accada. Uno dei fatti preoccupanti è che tutti gli attacchi LuckyMouse finora sono stati identificati dopo l'infezione. Questo significa che c'è stato un ritardo tra gli attacchi e le loro identificazioni. Come ogni versione è aggiornata con una base di codice ancora più avanzata agli amministratori di sistema dovranno essere ancora più attenti quando i loro sistemi di sorveglianza.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo