De strafrechtelijke collectieven steeds actief tegen computer netwerken wereldwijd. Experts hebben een nieuwe golf van aanvallen die worden georkestreerd door de Rancor hackers tegen diverse computers in Azië gebruik te maken van de PLAINTEE en DDKONG malware families gedetecteerd. Deze groep is eerder bekend om het maken van aangepaste Trojans in gerichte aanvallen tegen organisaties.
Ontdekking van de Rancor Hackers en hun PLAINTTEE en DDKONG Malware
Gerichte aanvallen van hackers zijn uitgegroeid tot een van de meest gevaarlijke tactiek in de afgelopen twee jaar. Ze kunnen zelfs meer schadelijke gevolgen hebben omdat ze het vaakst een beroep doen op beveiligingsproblemen en computer infecties met behulp van aangepaste code of verfijnde Trojan stammen. Dit is de reden waarom ze veel meer verwoestende dan gewone virusinfecties kunnen zijn, waaronder die met ransomware.
De crimineel collectieve werd ontdekt na een analyse van een bedreiging die bekend staat als de KHRAK Trojan. Het werd gebruikt in een geraffineerde aanval in augustus 2017 tegen computergebruikers in Cambodja. De belangrijkste distributie methode was het gebruik van besmette Microsoft Word-documenten die social engineering tactieken die gebruikt worden om zo veel mogelijk gebruikers te infecteren. Zodra de ingebouwde macro's (scripts) worden geactiveerd de ingebouwde motor zal een download opdracht die de rest van het virus haalt lanceren. De security analyse blijkt dat het netwerk verzoeken gebruik maken van een vals DropBox domein adres dat een truc wordt gebruikt om te voorkomen systeembeheerders en geautomatiseerde defensie tegenmaatregelen van het detecteren van de verdachte transacties.
Na de installatie zal het opzetten van een Trojaans bijvoorbeeld die aansluit op een hacker gecontroleerde server. Hierdoor kan de rancune hackers te bespioneren de slachtoffers, implementeren aanvullende bedreigingen en tevens de controle over de machines te nemen op een gegeven moment.
De KHRAK Trojan is een belangrijk stuk van de puzzel zoals het werd gevonden dat een vergelijkbare strategie wordt momenteel gebruikt tegen doelen in Azië. De manier waarop de infecties onderzoek is gebleken dat dezelfde actoren achter de voortdurende aanvallen. Uit de verslagen blijkt dat het collectief is gericht Singapore en Cambodja.
De Rancor Hackers Leverage PLAINTTEE en DDKONG Malware Against Aziatische Targets
De aanvallen nogmaals gebruiken e-spamberichten als de primaire methode van distributie. De rapporten geven aan dat de rancune hackers gebruikt elementen uit nieuwsartikelen die primaire focus op politiek nieuws en hedendaagse evenementen. Dit geeft de experts een reden om te geloven dat de aanvallers zich richt vooral politieke entiteiten.
Een van de meest gevaarlijke eigenschappen van de e-mailberichten is dat ze worden gehost op legitieme zit, met inbegrip van degenen die worden gehost door de Cambodja regering en sociale netwerken, waaronder Facebook. Tijdens de analyse van de security specialisten rekening mee dat sommige van de KHRAT Trojan-opdrachten en servers worden gebruikt. Er zijn twee verschillende clusters (vernoemd “cluster A” en “cluster B”) dat gebruik van de gescheiden phishing strategieën. Deze stap wordt uitgevoerd om de verhouding van infectie verhogen.
DDKONG Malware Capabilities
De code analyse van de DDKONG malware laat zien dat de eerste versies ervan dateren van oktober 2017. Dit toont aan dat het heel goed mogelijk dat de code van het virus kunnen zijn gedeeld met andere groepen of hackers.
DDKong bestaat uit drie delen: ServiceMain, Rundll32Call en DllEntryPoint. Wanneer het eerste deel wordt uitgevoerd, zal het zelf wordt geladen als een service en start vervolgens de tweede module. Dit wordt gedaan met het oog op een mogelijk te maken persistent installatie. Vergelijkbare bedreigingen het systeem te wijzigen door het uitschakelen van bepaalde recovery menu's en modes en maken het virus automatisch wordt gestart wanneer de computer wordt opgestart. Dit maakt gebruikershandleiding verwijderen zeer moeilijk.
De Rundll32Call functie start een dienst-monitor die ervoor zorgt dat er slechts één exemplaar wordt uitgevoerd op een moment. De derde module wordt in een gecodeerde vorm en gedecodeerd wonen op het systeem wanneer de twee eerdere modules gelukt running. Deze stap is nodig om te voorkomen dat beveiligingssoftware te gebruiken, op handtekeningen gebaseerde scans naar de finale malware te detecteren. De laatste module (DllEntryPoint) zorgt voor een veilige verbinding met een hacker gecontroleerde server die wordt gebruikt om de infecties te melden. Ook kan de hackers om andere bedreigingen te installeren, bespioneren de slachtoffers en de overname van de controle van de machines.
PLAINTEE Malware Capabilities
De PLAINTEE malware is een geavanceerde bedreiging die is gevonden om een aangepaste UDP-protocol gebruiken om te communiceren met de hackers. Net als DDKONG het gebruik maakt van phishing e-mails voor de eerste infectie en zodra de malware maakt zijn weg naar het doel machines zal zij haar ingebouwde gedragspatroon beginnen.
De code analyse van de gevangen stammen blijkt dat de eerste acties die door de dreiging te maken hebben met de Windows-register. Het virus installeert zich als een aanhoudende dreiging vanzelf maskeren als “microsoft Audio” service. Het creëert een nieuwe map vermelding die zich voordoet als een component behorend tot het besturingssysteem. Naar aanleiding van dit systeem dienst beeldscherm heet dat toezicht houdt en zorgt ervoor dat er slechts één exemplaar wordt uitgevoerd op een moment.
De volgende stap is om uit te voeren data harvesting motor die wordt gebruikt om de gegenereerde unieke identificatie van de gebruiker. De lijst van de verzamelde waarden omvat de volgende informatie:
- processorspecificaties & Geïnstalleerd geheugen
- Moederbord en geïnstalleerde onderdelen
- Regionale instellingen
- -User Set Operating System Values
Net als de DDKONG malware deze specifieke bedreiging maakt ook gebruik van een aangepaste beveiligingsprotocol om te communiceren met de hacker gecontroleerde servers. De geoogste worden automatisch verzonden en een antwoord en verzoek sequentie is vastgesteld. De waargenomen interactie aangeven dat de hackers verschillende commando's gebruiken. Evenals het ophalen van de lijst van gevoelige gegevens van de verbinding kan worden gebruikt om extra bedreigingen implementeren.
De uitgevoerde analyse blijkt dat de motor ook de lijst van draaiende applicaties en diensten kunnen ophalen, evenals de beschikbare netwerkverbindingen. Dit kan worden gebruikt om extra bedreigingen implementeren, over te nemen controle over hun machines en spion voor de gebruikers in real time.
Gevolgen van de PLAINTTEE en DDKONG malware-infecties door de Rancor Hackers
De voortdurende aanvallen die afkomstig zijn van de wrok hackers lijken uitsluitend te richten op de regio Zuidoost-Azië. Het is zeer waarschijnlijk dat ze afkomstig zijn uit een land dat zich in dit gebied omdat ze gebruik maakt van een geavanceerde social engineering op basis van phishing. Een van de meest gevaarlijke aspecten van de dreiging is dat het aangepaste protocollen, dit ontwijkt zowel de detectie van de malware-bedreigingen, alsmede door beveiligingssoftware en ook de analyse netwerk.
De analyse conclusie bevestigt nogmaals dat complex stammen, zoals deze zijn bijzonder gevaarlijk. Het onderzoek gaat verder als de security onderzoekers blijven om de malware te landschap te bewaken.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: