Huis > Cyber ​​Nieuws > StrongPity Hackers lanceert spyware-aanval op doelen in Turkije en Syrië
CYBER NEWS

StrongPity Hackers lanceert spywareaanval tegen doelen in Turkije en Syrië

Beveiligingsonderzoekers hebben ontdekt dat een aanhoudende aanval wordt uitgevoerd door een hackgroep genaamd StrongPity met behulp van spywarebestanden. De bevindingen tonen aan dat deze specifieke campagne lijkt te zijn gericht tegen Koerdische doelen die in deze landen aanwezig zijn.




Hosts in Turkije en Syrië die het doelwit zijn van ervaren StrongPity-hackers die aangepaste spyware gebruiken

De spyware die wordt gebruikt als infiltratietool is een gewijzigde versie van eerder gedetecteerde malware. Ze bevatten nu nieuwere functionaliteit en codekanalen die het feit weerspiegelen dat de criminelen ervaren zijn.

De hackers hebben zich gericht op het vooraf selecteren van hun doelen, zodat ze computers en netwerken vertegenwoordigen die eigendom zijn van en worden gebruikt door Koerden. Dit laat duidelijk zien dat deze campagne is politiek gemotiveerd. De tijdstempels die in de vastgelegde bestanden zijn geïntegreerd, geven aan dat ze samenvallen Oktober 1 2019. Dit kan twee dingen betekenen — de compilatiedatum van de tools of het begin van Opertion Peace Spring — de Turkse militaire acties in Syrië die deze codenaam gebruikten. Dit alles toont aan dat het mogelijk is dat de campagne zelfs door de staat wordt gesponsord.

De infecties worden gedaan door de doelservers vooraf te selecteren en vervolgens een gevaarlijk Trojaans virus tegen hen te lanceren. De gewijzigde versies van de Trojaanse paarden worden geleverd via een aanval die wordt genoemd afvoer. Ze worden uitgevoerd door veelgebruikte websites te selecteren die worden gehackt en omgeleid naar een door een hacker bestuurde bestemmingspagina. Dit zal het downloaden van een applicatiebundel of direct uitvoerbare bestanden. Deze bestanden zijn digitaal ondertekend met zelfondertekende certificaten die verschijnen als legitieme software. Er worden ook coderingssleutels toegevoegd om de droppers te verbergen voor gewone beveiligingsscans. Voorbeelden van geïnfecteerde softwarebundels bevatten voorbeelden zoals de volgende:

  • Archiefprogramma's — 7-Zip en WinRAR
  • Beveiligingssoftware — McAfee Veiligheids Scan Plus
  • Toepassingen voor bestandsherstel — Recuva
  • Remote Connection-toepassingen — TeamViewer
  • Chat-applicaties — WhatsApp
  • Nut van het systeem — Piriform CCleaner, CleverFiles, Disk Drill, DAEMON Tools Lite, Glary Utilities en RAR Password Unlocker

Wanneer de droppers worden uitgevoerd, zal de kwaadaardige code starten en communiceren met de door hackers bestuurde servers door de tweede fase van de spywaretools van hen op te halen.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/ransomware-lenovoemc-nas-devices/ “]Ransomware richt zich op LenovoEMC NAS-apparaten

StrongPity-hackers nemen geavanceerde mogelijkheden op in de spyware

Wanneer de slachtoffers de relevante spywarebestanden hebben ingeschakeld, leidt dit tot de Inzet van 4 bestanden: het legitieme software-installatiebestand, launcher en het relevante onderdeel voor permanente installatie, de data kaping component en een bestandszoeker.

De Trojan laadt eerst de daadwerkelijke legitieme software-installatie, zodat de slachtoffergebruikers geen potentieel gevaarlijke acties vermoeden. Echter ondertussen wordt de viruscode op de achtergrond gestart. De malwarecomponenten worden versleuteld geleverd en worden geëxtraheerd wanneer ze moeten worden geopend in secties die ze beschermen tegen mogelijke beveiligingsscans.

Het opstartonderdeel van de spyware wordt vanaf hier in de map SYSTEM afgeleverd en start een eigen service. De verzamelde voorbeelden laten zien dat de malware zich voordoet als een actieve besturingssysteemdienst zoals Print Spooler of Registeronderhoudsserver. Een gerelateerde actie is de installatie van de bedreiging in een persistent state. Dit betekent dat de viruscode en alle gerelateerde componenten automatisch worden gestart wanneer de computer wordt ingeschakeld.

Het het verzamelen van gegevens module loopt naast de bestandszoeker component om bestanden te vinden die door hackers als gevoelig kunnen worden beschouwd. Dit omvat zowel persoonlijke gebruikersinformatie als machinegegevens die via een netwerkverbinding naar de criminelen worden gestuurd.

Gezien deze mogelijkheden is het heel goed mogelijk dat de code kan worden gewijzigd om andere functies zoals de volgende op te nemen:

  • Aanvullende malware Installatie — Tijdens het infiltratieproces kunnen de spywaretools worden geprogrammeerd om malwarecode te leveren en te installeren in alle belangrijke viruscategorieën. Dit kan volledig capabel zijn Trojans die zijn ontworpen om de controle over de slachtoffermachines over te nemen en gevoelige gegevens erin te stelen. Webbedreigingen brengen vaak met zich mee cryptogeld mijnwerkers ook - ze zullen een reeks complexe prestatie-intensieve taken downloaden en uitvoeren. Ze profiteren van de belangrijkste hardwarecomponenten: CPU, Geheugen, grafiek, Hard Disk Space, GPU en netwerksnelheid. Voor elke gerapporteerde voltooide en gerapporteerde taak ontvangen de hackers cryptocurrency als beloning. Een andere mogelijke malware die kan worden geïnstalleerd, is a ransomware virus — zij zullen gebruikersgegevens verwerken volgens een ingebouwde lijst met bestandsextensies van het doelbestand. Ze worden gecodeerd, waardoor de ontoegankelijkheid wordt bereikt. Ze worden dan afgeperst om een ​​decoderingsvergoeding te betalen.
  • System Wijzigingen — De criminelen kunnen ook geavanceerde systeemmanipulatie implementeren, inclusief het wijzigen van configuratiebestanden en wijzigingen in het Windows-register. Dit kan het onmogelijk maken om bepaalde services te starten en kan ook leiden tot onverwachte fouten en bredere systeemproblemen.
  • botnet Recruitment — In sommige gevallen kunnen de besmette hosts worden gerekruteerd in een wereldwijd netwerk van aangesloten computers. Hun collectieve kracht kan worden ingezet voor grootschalige aanvallen die kunnen worden geconcentreerd op een enkele doelcomputer. Het meest voorkomende type aanval is de distributed denial-of-service- campagnes die de doelsites zullen verwijderen.

Dergelijke gerichte campagnes zullen naar verwachting doorgaan, aangezien geavanceerde hackgroepen politiek gemotiveerd zijn en voorlopig onderzoek doen naar de beoogde slachtoffernetwerken.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens