CYBER NEWS

Turla hacker Impiegare diplomatici Mosquite Backdoor Contro

immagine hacker Turla

Il Turla Gli hacker sono un collettivo criminale famoso che sono ampiamente conosciuto per l'esecuzione di attacchi complessi contro le grandi aziende e istituzioni governative. Gli esperti di sicurezza hanno rilevato che essi sono responsabili di una grande campagna in corso di hacking contro ambasciate e consolati principalmente in Europa che utilizzano tecniche di manipolazione di rete avanzata.

I primi segni premonitori: Turla hacker sospettati di un attacco pericoloso

ricercatori di sicurezza informatica sono stati allertati di un attacco di hacking combinato. L'analisi approfondita mostra che il collettivo è probabilmente il probabile colpevole come una catena un'infezione molto complesso è usato contro obiettivi di alto profilo. La maggior parte delle vittime designate sono diplomatici basata principalmente in Europa. Gli operatori hanno usato le copie modificate del Adobe Flash Player installare un backdoor pericolosa chiamata Zanzara che viene attribuito al gruppo. Durante l'inizializzazione del il malware si connette ai server di comando e controllo che sono stati precedentemente associati con il gruppo Turla nelle campagne precedenti.

L'analisi del comportamento corrisponde anche le firme di altre famiglie di malware che vengono attribuiti al gruppo di hacker Turla. Questo include non solo processo simile sequenza di esecuzione, ma anche avanzato componenti come l'offuscamento stringa e il componente risoluzione API. Si conclude che gli hacker stanno continuando i loro tentativi di intrusione contro obiettivi di alto profilo, ancora una volta.

I Turla hacker Impiegare dei server di rete di manipolazione e di Adobe durante l'infezione

Gli hacker hanno creato Turla copie contraffatte di Adobe Flash Player, che non è tanto diverso da alcuni dei loro precedenti campagne. Tuttavia, invece di utilizzare tattiche familiari come messaggi e-mail (con o senza tecniche di social engineering) e contraffatti siti di download, i file di malware sembrano essere scaricati direttamente dai server di Adobe. Come risultato intrusione servizi di rilevamento e amministratori degli utenti possono essere ingannati in che permette l'installazione di continuare.

Ulteriori controlli in seguito si è scoperto che gli hacker non hanno utilizzato la tecnica di manipolazione campo host. I criminali manipolano questo campo per puntare a un server degli hacker controllato. Tuttavia durante l'analisi approfondita è stato rivelato che questo non era il file malware infatti caso e sembrano essere disponibili dai server di Adobe. Il team di sicurezza presso la società però affermare che è stato rilevato nessuna intrusione.

Ci sono diverse spiegazioni possibili che sono sotto esame:

  • Server DNS Rogue - Gli indirizzi IP rispondono alle reali server utilizzati da Adobe in modo da questo suggerimento è stato subito scartato.
  • Uomo nel mezzo (MitM) attacco - Gli hacker Turla possono utilizzare una macchina compromessa trovato sulla rete delle vittime designate. Utilizzando una tecnica di spoofing ARP i criminali in grado di manipolare il traffico in tempo reale e destinarli ad altri host pericolosi. Durante l'indagine approfondita degli attacchi in corso non sono stati rilevati tali strumenti nei modelli di codice e di comportamento. Se questo metodo viene impiegato quindi un'infezione deve essere stata fatta prima del lancio della campagna attuale.
  • Dispositivo Gateway Hacked - In questo caso i criminali si intromettono su dispositivi gateway (router, server proxy e switch di rete) che l'impatto di un gran numero di vittime. Tali attacchi danno Turla la possibilità di rivedere e traffico in entrata e in uscita tra la rete locale e Internet.
  • ISP livello delle intrusioni - In modo analogo il gruppo Turla può modificare intrusione sui server dei provider di servizi Internet stessi (ISP). La maggior parte degli obiettivi sono situati nei paesi dell'ex URSS e usano almeno quattro diversi fornitori. Questo scenario sarebbe probabile se gli hacker hanno la possibilità di monitorare il traffico di rete in paesi diversi allo stesso tempo.
  • BGP Hijacking - L'ultimo scenario possibile è un attacco di dirottamento BGP. Questo può essere fatto utilizzando un sistema autonomo per annunciare un prefisso che appartiene al sito di Adobe. Ciò consentirebbe il traffico di rete per essere indirizzati a siti pirata controllato. Il gruppo colpiti sarebbe gli utenti che si trovano in prossimità dei luoghi pericolosi. Tuttavia questo è altamente improbabile in quanto vi sono numerosi servizi che monitorano costantemente per tali pratiche di malware.

Effettivamente qualsiasi abuso di rete può conseguenza infezioni da malware con carichi utili arbitrarie. La campagna di attacco in corso sembra portare in gran parte ad un'infezione con una backdoor pericolosa nota come Zanzara.

Un comportamento alternativo è stato osservato anche in cui il programma di installazione di Adobe Flash offre due backdoor JavaScript-based separati invece del malware Mosquito. Essi sono posti in una cartella di sistema utilizzato da Microsoft e sono chiamati google_update_chcker.js e local_update_checker.js.

La prima istanza carica un'applicazione web ospitati su Google Apps Script. L'applicazione viene effettuata in modo tale che si aspetta una risposta base-64 codificato. Una volta che il comando necessario viene inviato il contenuto viene decodificato utilizzando una funzione incorporata. Si presume che il suo scopo è quello di scaricare ulteriori minacce alla macchina. In altri casi può essere utilizzato per eseguire comandi arbitrari pure. L'analisi del codice che mostra come Mosquito può essere installato come una minaccia persistente, con l'aggiunta di un valore di registro.

Il secondo il malware JavaScript legge il contenuto di un file che si trova in una cartella di sistema ed esegue il suo contenuto. Tali virus vengono eliminati insieme ai loro file di configurazione associati. Sono estremamente pericoloso in quanto il loro comportamento può essere modificato a seconda di ogni host infetto. E 'possibile aggiungere un valore di registro al fine di ottenere un persistente stato di esecuzione.

Story correlati: Codice malware che non invecchia mai, Versione 2017

Il Mosquito Backdoor è il Turla hacker arma

L'analisi approfondita del payload principale utilizzato dal gruppo Turla è un backdoor chiamata Zanzara. Gli analisti notare che questa è una versione aggiornata di un vecchio una minaccia che è stato utilizzato dal 2009. Si è travestito da un programma di installazione di Adobe Flash Player e può ingannare la maggior parte degli utenti di computer in quanto contiene le firme legittime da Adobe. Il codice maligno vero e proprio è pesantemente offuscato (nascosto) utilizzando un meccanismo di crittografia personalizzato. Una volta che il payload del malware è stato distribuito segue un modello di comportamento predefinito.

Al momento l'infezione la backdoor zanzara stessa decifra e gocce due file alle cartelle di sistema. Gli analisti di notare che include un Turla tecnica di protezione Stealth che gli utenti per le stringhe che sono associati con il software di sicurezza. Nelle versioni future può essere utilizzato anche nei confronti di altri strumenti come macchine virtuali, sandbox e ambienti di debug. La zanzara di malware procede creazione di un stato persistente di esecuzione tramite una chiave di registro corsa o COM dirottamento. Questo è anche seguita da una Registro di Windows modifica. Di conseguenza il codice pericoloso viene eseguito ogni volta che si avvia il computer.

Un raccolta di informazioni fase segue. Il malware ha la capacità di estrarre informazioni sensibili sul sistema e inviarlo agli hacker tramite un dominio di Adobe. Alcuni dei dati esempio include l'ID univoco del campione, il nome utente degli utenti vittima o tabella ARP della rete.

Al fine di ingannare le vittime a pensare che la sua un installatore legittima un vero e proprio esempio di installazione di Adobe Flash viene scaricato ed eseguito. Due fonti sono stati trovati identificati nei campioni acquisiti - proprio server Download Adobe e un link di Google Drive.

Prima viene eseguito il codice backdoor principale il processo di installazione crea un account amministrativo separato chiamato HelpAssistant o HelpAsistant la cui password “sysQ!123”. Il valore di sistema LocalAccountTokenFilterPolicy è impostato per 1 (Vero) che permette la gestione remota. Gli esperti di sicurezza rivelano che puo 'essere utilizzato in combinazione con le operazioni di accesso remoto da parte criminali.

L'invenzione Turla Hackers - Funzionalità della zanzara Backdoor

Il codice backdoor principale utilizza valori del registro di Windows crittografati utilizzando un algoritmo personalizzato per la configurazione di sé. Gli hacker hanno Turla bundle uno scrittore completo file di log. Gli analisti di notare che scrive un timestamp per ogni voce di registro. Questo è molto insolito per una backdoor come questo ed è probabilmente usato dagli autori di ripercorrere le infezioni.

Come altri backdoor simili si connette a un comando di hacker-control e controllo (C&C) server per segnalare eventuali interazioni informatici. Questo viene fatto nel corso di un periodo di tempo casuale, una tecnica che evade scansioni euristiche basate. Gli hacker possono utilizzare per inviare comandi arbitrari e causare ulteriori danni agli host infetti. L'user-agent è impostato per apparire come Google Chrome (versione 41).

Un elenco di istruzioni predefinite per la programmazione più semplice è fornito in bundle nella backdoor. L'elenco comprende le seguenti voci:

  • Scaricare ed eseguire un file.
  • lancio di processo.
  • eliminazione dei file.
  • File exfiltration.
  • Memorizzare i dati al Registro.
  • Esegui comando e inviare l'output a C&I server C.
  • Aggiungi un C&URL C Server.
  • Eliminare un C&URL C Server.
Story correlati: Milioni di computer infettati da minatori criptovaluta

In corso Turla attacco hacker: Come per contrastarle

Al momento la zanzara backdoor è ancora in corso e come la sicurezza indagini continuano a cercare le origini delle intrusioni pericolose il numero di potenziali bersagli continua a salire. Il collettivo criminale Turla è ampiamente conosciuto per essere in grado di entrare in obiettivi di alto profilo, molte delle loro vittime sono istituzioni governative o di grandi imprese internazionali. Gli attacchi di ingegneria sociale sono degni di nota per la loro complessità, l'analista di notare, inoltre, che le avanzate attacchi relativi alla rete sono accuratamente pianificate per evitare tutte le maniere di analisi e rilevamento delle intrusioni.

Poiché le firme sono noti a disposizione del pubblico in generale si consiglia agli utenti di computer per eseguire la scansione dei loro sistemi per eventuali infezioni malware.

Scarica

Strumento di rimozione malware


Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunters

Avatar

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...