Blackgear Cyber ​​Spionage Campaign Misstanden Blogs, Social Media berichten
CYBER NEWS

Blackgear Cyber ​​Spionage Campaign Misstanden Blogs, Social Media berichten

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

Blackgear is een eerder gedetecteerd cyber spionage campagne die dateert uit 2008. De malware is bekend dat organisaties richten in Japan, Zuid-Korea en Taiwan, met de doelstellingen in de eerste plaats dat overheidsinstanties sector en high-tech bedrijven.




Volgens Trend Micro meldt uit 2016, de malware campagnes waren gericht op de Japanse organisaties waarbij verschillende malware gereedschappen werden ingezet, zoals Elirks achterdeur. De voortdurende aanvallen en de persistentie van Blackgear campagnes wijzen dat de cybercrimineel operators zijn goed georganiseerd hebben hun eigen gereedschappen die periodiek worden geactualiseerd ontwikkeld en “fine-tuned” zoals vermeld in een recent cybersecurity rapport.

Blackgear Schadelijke Kenmerken

Een opmerkelijk kenmerk van Blackgear is de mate waarin de aanvallen zijn genomen om detectie te vermijden, misbruik maken van bloggen, microblogging, en social media diensten aan haar command-and-control te verbergen (C&C) configuratie“, Trend Micro zei. deze techniek, die anders is dan de gebruikelijke praktijk van het inbedden van de opdracht en de bediening binnen de malware helpt de kwaadaardige operators om hun C snel veranderen&C-servers wanneer het nodig is. Deze slimme tactiek kan de criminelen om hun campagnes zo lang als ze willen lopen voor.

Verwante Story: InvisiMole Spyware: Verfijnde Tool voor Gerichte Cyber ​​Spionage

Blijkbaar, Blackgear is samengesteld met behulp van de Marade downloader met een versie van Protux in haar laatste activiteiten. Hoewel het analyseren van deze kwaadaardige monsters, de onderzoekers vonden hun gecodeerde configuraties op de blog en social media berichten, die een indicatie is dat de malware werktuigen werden gemaakt door dezelfde cybercrime bende kan zijn.

Om een ​​beter inzicht in de werking van de meest recente Blackgear aanvallen onderzoekers gecorreleerd de tools en de praktijken van de criminelen gebruikt tegen hun doelstellingen. Hier is hoe de aanval keten van Blackgear gaat rond:

  • De aanvallers maken gebruik van een decoy document of nep-installatiebestand, die wordt verspreid via spam e-mail naar een potentieel slachtoffer te verleiden tot interactie met de kwaadaardige inhoud.
  • De decoy document is ingesteld om de Marade downloader die zich in de map van de machine Temp daalt extraheren, het vergroten van de bestandsgrootte tot meer dan 50 MB en het omzeilen van de traditionele sandbox oplossingen.
  • Vervolgens controleert Marade of de geïnfecteerde gastheer kan verbinding maken met het internet en als deze is geïnstalleerd met een anti-virus programma.
  • In het geval dat de getroffen host kan verbinding maken met het internet en heeft geen AV bescherming, Marade verloopt via een aangesloten Blackgear-gecontroleerde openbare agenda (of sociale media bericht) een gecodeerde commando en besturingsconfiguratie reconstitueren. In het geval dat er geen internet verbinding, de malware de C gebruiken&C gegevens ingebed in de code.
  • De versleutelde strings dienen als een magneet link naar de kwaadaardig verkeer worden geregistreerd door AV-programma's te houden. Dan, Marade zal decoderen van de versleutelde strings en ophalen van de C&C server informatie.
  • De volgende stap is de inzet van de Protux backdoor. De C&C server zal Protux sturen naar de getroffen machine en zal het uit te voeren. Protux wordt uitgevoerd door misbruik te maken van de rundll32 dynamic-link library (DLL). Het test netwerk van de gastheer, haalt de C&C server van een andere blog, en maakt gebruik van het RSA-algoritme om de sessie te genereren en informatie te sturen naar de C&C server, de onderzoekers verklaard.
  • Eindelijk, malware gereedschappen Blackgear's worden geleverd om gerichte systemen via RAR zelfuitpakkend uitvoerbaar (SFX) bestanden of kantoor Visual Basic Script (VBScript) een decoy document te maken.

De Reikwijdte van Blackgear Campagnes

Blackgear is actief geweest voor minstens een decennium, gericht op diverse industrieën in geheime aanvallen. De kracht van de malware lijkt te worden veroorzaakt door de manier waarop het kan de traditionele beveiligingssoftware te omzeilen. Een dergelijke techniek is de inzet van twee stadia van de infectie voor elke aanval.

Omdat de eerste fase worden alleen profilering en verkenning, Het is heel goed mogelijk dat het doel niet in staat zijn om de inbraken merken. Er kunnen geen tekenen van inbraak, zelfs na de achterdeur succes wordt neergezet op het beoogde systeem als de Blackgear auteurs gebruiken microblogging en social media diensten aan te halen C&C informatie.




Volgens de onderzoekers, Blackgear aanvallen illustreren de noodzaak voor organisaties om de veiligheid strategieën die proactief te reageren op bedreigingen en cybercriminaliteit te ontwikkelen en uit te voeren. Een voorbeeld van zo'n strategie omvat een bedreiging jacht strategie, waarbij indicatoren aanval gemakkelijk kan worden bevestigd om te bepalen of het binnendringen eenmalig zijn pogingen of deel van een grotere campagne.

avatar

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...