Huis > Cyber ​​Nieuws > Nieuwste Luckymouse Trojan ingesteld tegen overheidsinstellingen
CYBER NEWS

Laatste Luckymouse Trojan Set Against Overheidsinstellingen

Security experts melden dat de LuckyMouse Hacking groep een nieuwe kwaadaardige bedreiging, die een zeer geavanceerde infiltratie gedragspatroon gebruikt heeft bedacht. Deze nieuwe LuckyMouse Trojan heeft de mogelijkheid om high-profile netwerken infecteren en wordt beschouwd als een kritische infectie.




Luckymouse trojan-aanvallen in het verleden

De LuckyMouse hacking groep en haar belangrijkste wapen genaamd de LuckyMouse Trojan zijn een beruchte crimineel collectief dat bekend staat voor het veroorzaken van high-impact aanval campagnes. Een van de meest herkenbare aanslagen met een eerdere iteratie van LuckyMouse is de in juni 2018 aanval. De groep lanceerde een aanval tegen een nationaal datacentrum gelegen in Centraal-Azië. De security onderzoekers ontdekten dat de criminelen in staat waren om toegang te krijgen tot het beperkte netwerk en de overheidsmiddelen.

Een complex gedragspatroon waargenomen die kunnen alle beveiligingssystemen die zijn geplaatst en geconfigureerd om aanvallen af ​​te weren omzeilen was. Volgens de rapporten vrijgegeven op het ogenblik na de infectie de security experts demonstreren dat het niet bekend is welke is de belangrijkste infiltratie mechanisme. Vermoed wordt dat de aanvallen waren door middel van een geïnfecteerde document. De analisten waren in staat om documenten die scripts gebruik te maken van de bijgeleverde verwerven CVE-2017-118822 beveiligingslek in Microsoft Office. Er wordt aangenomen dat de interactie met het heeft geleid tot de inzet van de eerste lading dropper. Het advies van de beschrijving leest de volgende:

Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, en Microsoft Office 2016 een aanvaller willekeurige code in de context van de huidige gebruiker gerund door geen objecten in het geheugen correct verwerken, aka “Microsoft Office ontregeld geheugen”. Dit CVE-ID is uniek ten opzichte van CVE-2017-11.884.

Vanaf daar op diverse geavanceerde stealth bescherming modules om de besmetting van alle veiligheidsdiensten te verbergen:

  • Een legitieme remote desktop servicemodule die wordt gebruikt om een ​​kwaadaardige DLL laadt.
  • Een DLL-bestand dat de LuckyMouse Trojan decompressor lanceert.
  • De decompressor instantie.

Daardoor Trojan bijvoorbeeld worden ingezet om de geïnfecteerde gastheer en aansluiten op systeemprocessen en individuele toepassingen. Dit maakt het mogelijk de criminelen te bespioneren de slachtoffers en ook redirect de gebruikers naar valse inlogpagina's, toetsaanslagen en muisbewegingen en etc. In deze aanval observeerde de analisten dat de criminelen in staat waren om een ​​URL die resulteerde in de levering van kwaadaardige code te injecteren.

Het eindresultaat is dat de Chinese hackers in staat waren om te infiltreren een nationaal datacentrum, door alle normen wordt dit gezien als een kritiek risico.

Verwante Story: Hakai Iot Botnet lonen oorlog tegen D-Link en Huawei Routers

Luckymouse Trojan Infectie Technieken

We hebben meldingen van een nieuwe LuckyMouse Trojan bijvoorbeeld die lijkt te zijn een sterk gewijzigde versie van de voormalige varianten ontvangen.

Er wordt aangenomen dat de groep is afkomstig uit China, nieuw bewijs hiervan is het feit dat de stammen gebruik maken van veiligheid handtekeningen van een Chinees bedrijf. Het is een ontwikkelaar van informatie beveiligingssoftware gevestigd in Shenzhen. De route van de infectie is een kwaadaardig NDISProxy. Hoewel er een legitieme software, kunnen de hackers hebben hun eigen versie gemaakt met de digitale handtekeningen gekaapt van het bedrijf - zowel in hun 32 en 64-bits versies. Na de ontdekking van het incident de analisten meldde dit bij de onderneming en CN-CERT.

Het blijkt dat de initiële verdeling van de LuckyMouse Trojan en de 32-bits versie is begonnen in het eind maart 2018. Er wordt aangenomen dat de gebruikte reeds besmet netwerken hackers om de bedreigingen te propageren.

Er zijn verschillende methoden die de criminelen kunnen gebruiken om het virus bestanden te verspreiden:

  • phishingmails - De hackers kunnen berichten die als legitiem meldingen vormen van Internet services of sites die de ontvangende gebruikers zou kunnen worden met behulp van de bouw van. Het virus bestanden kunnen direct worden bevestigd of gekoppeld in de inhoud lichaam.
  • payload Carriers - De kwaadaardige motor kan worden ingebed in verschillende vormen, zoals documenten (in een soortgelijke wijze als de vorige aanslagen) of installatieprogramma's. De LuckyMouse hackers kunnen de legitieme software installateurs van bekende toepassingen die eindgebruikers gebruiken meestal kapen: nut van het systeem, creativiteit suites en productiviteitsoplossingen. Ze kunnen dan worden verspreid naar de verschillende sites, mails en andere middelen.
  • File-sharing netwerken - BitTorrent en andere soortgelijke netwerken die vaak worden gebruikt om piraat inhoud te verspreiden kan ook worden gebruikt door de hackers. Ze kunnen ofwel de stand-alone virus bestanden of de lading dragers te leveren.
  • scripts - De vorige aanslagen gebruikt een complex infectie patroon dat uiteindelijk afhankelijk van een definitieve implementatie script. De installatie van de driver kan worden aangesproken door scripts die ofwel kan worden geïntegreerd in diverse toepassingen of diensten, of verbonden door webpagina's. In sommige gevallen kan schadelijk gedrag worden waargenomen via gebruikelijke elementen zoals omleidingen, banners, advertenties, pop-ups en etc.
  • Web Browser Plugins - Schadelijke web browser plugins kan worden geprogrammeerd door de hackers om de infectie te verspreiden. Ze zijn meestal compatibel met de meest populaire web browsers gemaakt en worden geüpload naar de relevante repositories. Ze maken gebruik van valse beoordelingen gebruikers en ontwikkelaars referenties, samen met een uitgebreide beschrijving om de gebruikers te dwingen om ze te downloaden. Na installatie zal het slachtoffer erachter komen dat hun instellingen, om te leiden naar een hacker gecontroleerde site kan worden veranderd. De LuckyMouse Trojan wordt automatisch geïnstalleerd.

De Luckymouse Trojan heeft een geavanceerd systeem Manipulatie Engine

Bij de installatie van de besmette NDIS driver zal het setup-bestand van het systeem te controleren en de juiste versie te laden - 32-bits of 64-bits. Net als bij gewone installaties zal de setup de motor van de stappen in een logbestand log. Wanneer de ondertekend stuurprogramma wordt ingezet om het systeem zal dit ook registreren code van het virus in het Windows-register in gecodeerde vorm. De volgende stap is de het opzetten van overeenkomstige autotart diensten - de LuckyMouse Trojan wordt automatisch gestart zodra de computer wordt aangezet. WAARSCHUWING! in sommige gevallen de toegang tot het menu herstel kan uitschakelen.

Het hoofddoel is het lsass.exe systeemproces geheugen infecteren. Dit is het belangrijkste proces van het besturingssysteem dat verantwoordelijk is voor de handhaving van de vooraf gedefinieerde veiligheidsbeleid. Het is verantwoordelijk voor verschillende processen, waaronder de volgende: verificatie gebruiker, wijzigen van wachtwoorden, toegangstokens creatie, modificaties van de Windows-beveiliging log en etc.

De kwaadaardige netwerk chauffeur zal vervolgens het communicatiekanaal om RDP-poort 3389 die Hiermee kan de hackers voor het opzetten van een beveiligde verbinding met de gecompromitteerde hosts. Kwaadaardige acties onder meer de volgende:

  • Download en uitvoering van andere malware - De geïnfecteerde computers kan worden besteld in het downloaden en het uitvoeren van een bestand door de criminele controllers gekozen.
  • Command Execution - De LuckyMouse Trojan kan commando's met zowel de gebruiker als administratieve privileges uit te voeren.
  • Toezicht - De criminelen kunnen de slachtoffers bewaken en bespioneren hun activiteiten te allen tijde.
  • Initiëren Netwerkaanvallen - De LuckyMouse Trojan code kan worden gebruikt om de spanningen verder te verspreiden. Dit kan automatisch of handmatig worden uitgevoerd door activeren penetratie testen commando.

LuckyMouse Trojan Doelen en Incidenten

De security analisten hebben geconstateerd dat de aanvallen die de LuckyMouse Trojan lijken zich voornamelijk richten op de Aziatische overheidsinstellingen. Het feit dat het virus monsters zijn aangepast om precies dit gedragspatroon volgen suggereert dat aanzienlijke planning heeft voorafgaand aan de lancering ondernomen. Er is geen duidelijke informatie over de bedoelingen van de hackers maar het wordt gespeculeerd dat ze politiek gemotiveerd zijn.




Het is duidelijk dat dat de criminele collectief is zeer ervaren en dat toekomstige campagnes en bijgewerkte code van het virus is waarschijnlijk gebeuren. Eén van de zorgelijke feiten is dat alle LuckyMouse aanvallen zijn tot nu toe geïdentificeerd post-infectie. Dit betekent dat er een vertraging tussen de aanslagen en de identificaties is. Zoals elke versie wordt bijgewerkt met een nog meer geavanceerde codebase de systeembeheerders moeten nog voorzichtig zijn bij het toezicht op hun systemen.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens