CYBER NEWS

T9000 – de Advanced Backdoor dat Skype Activity Legt

Heb je gehoord, of erger - ervaren, T5000 achterdeur die werd gedetecteerd in 2013 en 2014? Als u een mensenrecht activist, een regering bediende of een medewerker van de auto-industrie in de regio Azië Pacific, de kans groot dat je geïnfecteerd door de verfijnde T5000 malware.

Leer meer over APT Backdoors

Helaas, een recent onderzoek van Palo Alto Networks, hetzelfde beveiligingsbedrijf dat voor het eerst een analyse van de T5000 malware familie (ook bekend als Plat1), geeft aan dat de achterdeur heeft een nieuwe versie.

Meet T9000 - de Backdoor dat zich richt op Skype-gebruikers

T9000-backdoor-malware-sensorstechforum
Zoals net gezegd, de T9000 malware lijkt een nieuwe versie van T5000 zijn. T9000 is gespot worden gedistribueerd via spear phishing e-mails binnen de VS. Blijkbaar, hoewel bepaalde organisaties zijn momenteel op schema, het stuk flexibel genoeg om te worden gebruikt in verschillende acties tegen verschillende doelen.

T9000 is niet alleen in staat vliegen onder de radar detectie ontwijken, twee kenmerken aanwezig in de meeste geavanceerde backdoors. T9000 is ook in staat om het vastleggen van gecodeerde gegevens, het nemen van screenshots en specifiek gericht zijn op Skype-gebruikers. De gehele installatie van de malware gaat door 4 stadia, en veel moeite is gedaan om opsporing en eventuele lopende security analyses te vermijden.

Bovendien, de malware is nauwkeurig genoeg om te identificeren 24 potentiële anti-malware producten die kunnen worden uitgevoerd op het beoogde systeem:

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Comfortabel
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • Micropoint
  • Filseclab
  • AhnLab
  • Jiangmin
  • Tencent
  • Avira
  • Kaspersky
  • opstand
  • 360

Bovengenoemde antimalwareproducten opgenomen via een binaire waarde die wordt gecombineerd met andere beveiligingsproducten. Zoals uitgelegd door Palo Alto onderzoekers, de volgende nummers vertegenwoordigen elk respectievelijk beveiligingsproduct.

0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Comfortabel
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Micropoint
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : Jiangmin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : opstand
0x00000001 : 360

Dat gezegd zijnde, als zowel Trend Micro en Sophos zijn te vinden op een slachtoffer machine, de resulterende waarde wordt 0x08000800. De waarde wordt dan geschreven naar het volgende bestand:

→%APPDATA% Intel avinfo

De infectie wordt gestart door kwaadwillende RTF-bestanden. Twee specifieke kwetsbaarheden worden uitgebuit:

CVE-2012-1856

vanaf cve.mitre.org:

De TabStrip ActiveX-besturingselement in de Common Controls in MSCOMCTL.OCX in Microsoft Office 2003 SP3, Office 2003 Web Components SP3, Office 2007 SP2 en SP3, Office 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2, SP3, R2, R2 SP1, en R2 SP2, commerce Server 2002 SP4, commerce Server 2007 SP2, commerce Server 2009 Goud en R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, en Visual Basic 6.0 Runtime kunnen externe aanvallers willekeurige code via een bewerkte (1) document of (2) webpagina die system-state corruptie triggers, aka “MSCOMCTL.OCX RCE-beveiligingslek.”

CVE-2015-1641

vanaf cve.mitre.org:

Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word voor Mac 2011, Office Compatibility Pack SP3, Word Automation Services op SharePoint Server 2010 SP2 en 2013 SP1, en Office Web Apps Server 2010 SP2 en 2013 SP1 externe aanvallers willekeurige code via een vervaardigd RTF document, aka “Microsoft Office ontregeld geheugen.”

Als alles gaat zoals gepland, eenmaal geïnstalleerd, T9000 zal informatie over het systeem te verzamelen, stuur het naar de command and control-server, en markeer het beoogde systeem zodat het onderscheiden van de anderen.
Zodra de geïnfecteerde machines worden geregistreerd en de informatie die kan worden gestolen wordt geïdentificeerd, de command and control server stuurt specifieke modules voor elk doel.

Een van deze modules, of plugins, Gebleken is bijzonder interessant te zijn:

tyeu.dat: stuur te bespioneren Skype activiteiten; zodra de module is geïnstalleerd en actief, de volgende keer dat Skype is gestart, verschijnt er een bericht te zeggen dat “explorer.exe wil Skype gebruiken”.
tyeu.dat can also:

Capture volledige desktop screenshots
Capture venster screenshots van gerichte processen
Capture Skype audio, video-, en chatberichten

T9000: Ten slotte

De voortgang van de T9000 backdoor malware is een uitstekend bewijs van hoe vastberaden en goed gefinancierde kwaadwillenden zijn. De auteurs van T9000 hebben hun best gedaan om te voorkomen dat gedetecteerd door AV leveranciers en het onderzoek van reverse engineers ontwijken. Gelukkig, de onderzoekers van Palo Alto hebben in het openbaar hun uitgebreide analyse die online beschikbaar is gedeeld. Neem een ​​kijkje op de hele verslag van Palo Alto Networks.

Bovendien, we willen elke organisatie die er aan herinneren hoe belangrijk incident response is:

  • Voorbereiding. Ondernemingen moeten hun werknemers en IT-medewerkers van het belang van de geactualiseerde veiligheidsmaatregelen opleiden en trainen hen om te reageren op de computer en de netwerk security incidenten in een snelle en adequate wijze.
  • Identificatie. De response team wordt gemeld wanneer een eventuele schending plaatsvindt, en moet beslissen of het een veiligheidsincident of iets anders. Het team wordt vaak geadviseerd om contact op met het CERT Coordination Center, welke tracks en registreert Internet security activiteiten en verzamelt de meest recente informatie over virussen en wormen.
  • Containment. De response team beslist over de ernst en de spanwijdte van de uitgifte. Loskoppelen van alle betrokken systemen en apparaten om verdere schade te voorkomen wordt ook toegepast.
  • Uitroeiing. De response team verder met het onderzoek naar de oorsprong van de aanval bekend te maken. De oorzaak van het probleem en alle kwaadaardige code restjes worden uitgeroeid.
  • Herstel. Gegevens en software zijn hersteld van schone back-upbestanden, ervoor te zorgen dat er geen kwetsbaarheden worden gelaten. Systemen worden gecontroleerd op enig teken van gevoeligheid voor een fout.
  • Geleerde lessen. De response team analyseert de aanval en de manier waarop het werd aangepakt, en bereidt aanbevelingen betere toekomstige respons en omwille van incidentpreventie.
Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

1 Commentaar

  1. avatarErinn Krauss

    U kunt de boel applicaties te gebruiken om bespioneren iemand, zelfs zonder enige backdoors

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...