I collettivi criminali stanno diventando sempre attiva contro le reti di computer in tutto il mondo. Gli esperti hanno rilevato una nuova ondata di attacchi che vengono orchestrato dagli hacker rancore contro i vari computer che si trovano in Asia sfruttando la PLAINTEE e famiglie di malware DDKONG. Questo gruppo è stato precedentemente noto per la creazione di Trojan personalizzati in attacchi mirati contro le organizzazioni.
Scoperta degli hacker rancore e loro PLAINTTEE e DDKONG Malware
attacchi hacker mirati sono diventati una delle tattiche più pericolosi negli ultimi due anni. Essi possono avere conseguenze ancora più dannose in quanto la maggior parte spesso si basano su vulnerabilità di sicurezza e le infezioni informatiche utilizzando il codice personalizzato o ceppi di Troia sofisticati. Questa è la ragione per cui essi possono essere molto più devastante di infezioni da virus ordinarie, compresi quelli con ransomware.
Il collettivo criminale è stato scoperto a seguito di un'analisi di una minaccia nota come KHRAK Trojan. E 'stato utilizzato in un attacco sofisticato nel mese di agosto 2017 contro gli utenti di computer in Cambogia. Il metodo di distribuzione principale è stato l'uso di documenti infetti Microsoft Word che utilizza tecniche di ingegneria sociale per infettare il maggior numero possibile di utenti. Una volta che le macro incorporate (script) vengono attivati il motore incorporato lancerà un comando di download che recupera il resto del virus. L'analisi di sicurezza mostra che le richieste di rete utilizzano un indirizzo di dominio falso DropBox che è un trucco usato per impedire agli amministratori di sistema e le contromisure di difesa automatici di rilevare operazioni sospette.
Dopo la sua installazione che sarà istituito un Trojan esempio che connette a un server hacker controllato. Questo permette agli hacker di rancore per spiare le vittime, implementare ulteriori minacce e anche prendere il controllo delle macchine in qualsiasi momento.
Il KHRAK Trojan è un pezzo importante del puzzle, come si è constatato che una strategia simile è in fase di funzionare contro obiettivi in Asia. Il modo in cui le infezioni sono svolte emerge che gli stessi attori sono dietro gli attacchi in corso. Le relazioni mostrano che il collettivo si rivolge Singapore e Cambogia.
Il Leverage PLAINTTEE Rancor hacker e malware DDKONG contro obiettivi asiatici
Gli attacchi ancora una volta usano i messaggi e-mail di spam come metodo primario di distribuzione. I rapporti indicano che gli hacker stanno utilizzando il rancore elementi tratti da articoli di notizie che obiettivo primario su notizie politiche ed eventi contemporanei. Questo dà gli esperti un motivo per credere che gli aggressori stanno prendendo di mira entità prevalentemente politici.
Una delle caratteristiche più pericolosi dei messaggi di posta elettronica è che sono ospitati su legittimo siede, compresi quelli che sono ospitati dal governo della Cambogia e social network, tra cui Facebook. Durante l'analisi degli specialisti di sicurezza di notare che alcuni dei KHRAT Trojan comandi e server vengono utilizzati. Ci sono due gruppi distinti (di nome “cluster A” e “cluster B”) che utilizzano strategie di phishing separati. Questo passo viene fatto al fine di aumentare il rapporto infezione.
Funzionalità DDKONG Malware
L'analisi del codice del malware DDKONG mostra che le prime versioni di esso risalgono a ottobre 2017. Questo dimostra che è molto probabile che il codice del virus potrebbe essere stato condiviso con altri gruppi o hacker.
DDKong è composto da tre parti: ServiceMain, Rundll32Call e DllEntryPoint. Quando viene eseguita la prima parte che si caricherà come servizio e quindi avviare il secondo modulo. Questo viene fatto al fine di consentire un installazione persistente. minacce simili modificano il sistema disattivando alcuni menu di recupero e le modalità e rendere il virus si avvia automaticamente quando il computer viene avviato. Questo rende la rimozione manuale molto difficile.
La funzione Rundll32Call avvia un monitor di servizio che assicura che soltanto una singola istanza esegue alla volta. Il terzo modulo viene fornito in forma codificata e decodificata vivere sul sistema una volta i due moduli precedenti sono riusciti esecuzione. Questo passaggio è necessario per evitare che il software di sicurezza di utilizzare scansioni basate sulle firme per rilevare il malware finale. Il modulo finale (DllEntryPoint) crea una connessione sicura a un server di hacker controllato che viene utilizzato per segnalare le infezioni. Esso consente inoltre agli hacker di installare altre minacce, spiare le vittime e prendere il controllo delle macchine.
Funzionalità PLAINTEE Malware
Il malware è una minaccia PLAINTEE sofisticato che è stato trovato per utilizzare un protocollo UDP personalizzato per comunicare con gli hacker. Come DDKONG utilizza le email di phishing per l'infezione iniziale e non appena il malware si fa strada sui computer di destinazione che inizierà il suo modello di comportamento integrato.
L'analisi codice ceppi catturati mostra che le prime azioni effettuate dalla minaccia sono legati alla Registro di Windows. Il virus si installa come un persistente minaccia per sé mascheratura come “Microsoft Audio” servizio. Si crea una nuova voce di cartella che pone come un componente appartenente al sistema operativo. A seguito di questo monitor un servizio di sistema è chiamato, che controlla e fa in modo che solo una singola istanza è in esecuzione in un momento.
Il passo successivo è quello di eseguire un i dati di raccolta motore che viene utilizzato per generare il identificazione utente unico. L'elenco dei valori raccolti include le seguenti informazioni:
- le specifiche dei processori & memoria installata
- Scheda madre e installati i componenti
- Impostazioni internazionali
- I valori del sistema operativo impostati dall'utente
Come il malware DDKONG questa particolare minaccia utilizza anche un protocollo di sicurezza personalizzato per comunicare con i server degli hacker controllato. I dati raccolti vengono inviati automaticamente e viene stabilita una sequenza di risposta e richiesta. Le interazioni osservate segnalano che gli hacker possono utilizzare vari comandi. Così come il recupero dell'elenco di dati sensibili la connessione può essere utilizzato per distribuire ulteriori minacce.
L'analisi condotta rivela che il motore può anche recuperare l'elenco delle applicazioni e dei servizi in esecuzione, così come le connessioni di rete disponibili. Questo può essere utilizzato per distribuire ulteriori minacce, assumere il controllo delle loro macchine e spiare gli utenti in tempo reale.
Conseguenze della PLAINTTEE e DDKONG malware infezioni dagli hacker Rancor
Gli attacchi continui che provengono da hacker rancore sembrano essere mira esclusivamente la regione del sud-est asiatico. E 'molto probabile che essi provengono da un paese situato in questa zona che stanno utilizzando un sofisticato schema di phishing di ingegneria sociale basata su. Uno degli aspetti più pericolosi della minaccia è che utilizza protocolli personalizzati, questo elude sia la rilevazione delle minacce malware, nonché dal software di sicurezza e anche Network Analysis.
La conclusione analisi conferma ancora una volta che i ceppi complesse come questa sono particolarmente pericolose. L'indagine continua come i ricercatori di sicurezza continuano a monitorare il panorama del malware.