Huis > Cyber ​​Nieuws > Turla Hackers Employ Mosquite Backdoor Against Diplomats
CYBER NEWS

Turla Hackers Employ mosquite Backdoor Tegen Diplomaten

image Turla hackers

De Turla Hackers zijn een bekende crimineel collectief dat algemeen bekend zijn voor het uitvoeren van complexe aanvallen op grote bedrijven en overheidsinstellingen. Security experts hebben vastgesteld dat zij verantwoordelijk zijn voor een grootschalige lopende hacking campagne tegen ambassades en consulaten voornamelijk in Europa met behulp van geavanceerde netwerk manipulatietechnieken.

De Early Warning Signs: Turla Hackers verdacht van een gevaarlijke aanval

Computer beveiliging onderzoekers werden gewaarschuwd van een gecombineerde hacking aanval. De diepgaande analyse blijkt dat de collectieve waarschijnlijk de vermoedelijke dader een zeer complexe infectie keten wordt tegen hoge profieldoelen. De meerderheid van de beoogde slachtoffers diplomaten voornamelijk gevestigd in Europa. De operators hebben aangepaste exemplaren van de Adobe Flash Player gebruikt om een ​​gevaarlijke backdoor genaamd installeren Mug die wordt toegeschreven aan de groep. Tijdens de initialisatie van de malware is er verbinding gemaakt met command and control servers die eerder werden geassocieerd met de Turla groep in eerdere campagnes.

Het gedrag analyse komt ook overeen met de handtekening van een andere malware families die worden toegeschreven aan de Turla hacken groep. Dit omvat niet alleen dergelijke werkwijze uitvoeringssequentie, maar ook geavanceerde componenten, zoals de string verduistering en de API resolutie component. Hiermee is de hackers zetten hun inbraakpogingen tegen hoge profieldoelen nogmaals.

De Turla Hackers Employ Network Manipulatie en Adobe's Servers tijdens infectie

De Turla hackers hebben een illegaal exemplaar van de Adobe Flash Player die niet zo veel anders dan sommige van hun eerdere campagnes gemaakt. Maar in plaats van met behulp van vertrouwde tactiek, zoals e-mailberichten (met of zonder social engineering-technieken) en vals download sites, de malware-bestanden lijken rechtstreeks van de Adobe servers worden gedownload. Daardoor intrusion detection diensten en gebruikersprivileges kan worden misleid waardoor de installatie verder.

Bij nadere inspectie bleek dat de hackers niet gebruikt de host veld manipulatie techniek. De criminelen manipuleren dit veld om te wijzen op een hacker gecontroleerde server. Maar tijdens de grondige analyse bleek dat dit niet het geval was en malware bestanden inderdaad lijken verkrijgbaar bij Adobe's servers. Het security team van het bedrijf staat echter dat er geen inbreuk is gedetecteerd.

Er zijn verschillende mogelijke verklaringen die worden overwogen:

  • Rogue DNS Server - De IP-adressen niet reageren op de echte servers die worden gebruikt door Adobe, zodat deze suggestie werd snel verwijderd.
  • Man in het midden (MitM) Aanval - De Turla hackers een gecompromitteerde machine gevonden op het netwerk van de beoogde slachtoffers benutten. Met behulp van een ARP spoofing-techniek de criminelen kan het verkeer in real time te manipuleren en om te buigen naar andere gevaarlijke hosts. Tijdens het diepgaand onderzoek van de voortdurende aanvallen werden er geen dergelijke instrumenten ontdekt in de code en gedragspatronen. Als deze methode wordt vervolgens gebruikt een infectie moeten zijn uitgevoerd voordat de feitelijke campagnelancering.
  • Gekraakt Gateway Device - In dit geval wordt de criminelen inbreuk op gateway-apparaten (routers, proxy servers en netwerk-switches) die van invloed zijn een groot aantal slachtoffers. Dergelijke aanvallen geven Turla de mogelijkheid te herzien en inkomend en uitgaand verkeer tussen het lokale netwerk en het internet.
  • ISP Level Intrusion - Op soortgelijke wijze de Turla groep kan intrude wijzigen op de servers van het internet service providers zelf (ISPs). Het merendeel van de doelstellingen worden gevestigd in de voormalige Sovjet-Unie landen en ze gebruiken ten minste vier verschillende providers. Dit scenario waarschijnlijk zou zijn als de hackers hebben de mogelijkheid om netwerkverkeer in verschillende landen te volgen op hetzelfde moment.
  • BGP Hijacking - De laatst mogelijke scenario is een BGP kaping aanval. Dit kan worden gedaan met behulp van een autonoom systeem om een ​​prefix die behoort tot de site van Adobe te kondigen. Dit zou netwerkverkeer worden gerouteerd naar-hacker gecontroleerde websites. De getroffen groep zou gebruikers die zich in de buurt van de gevaarlijke locaties. Dit is echter zeer onwaarschijnlijk want er zijn tal van diensten die voortdurend te controleren voor een dergelijke malware praktijken.

Effectief elk netwerk misbruik kan leiden dat malware-infecties met willekeurige payloads. De lopende aanval campagne lijkt te worden meestal leiden tot een infectie met een gevaarlijk backdoor bekend als Mug.

Een alternatief gedrag is ook waargenomen waar de Adobe Flash installateur levert twee aparte Javascript gebaseerde backdoor in plaats van de Mosquito malware. Ze worden in een systeem map die wordt gebruikt door Microsoft geplaatst en heten google_update_chcker.js en local_update_checker.js.

Het eerste geval laadt een webapplicatie wordt gehost op Google Apps Script. Zij wordt zodanig dat deze een basis-64 gecodeerd antwoord verwacht. Zodra de noodzakelijke commando wordt teruggestuurd de inhoud wordt gedecodeerd met behulp van een ingebouwde functie. Vermoed wordt dat het doel is om extra bedreigingen te downloaden naar de machine. In andere gevallen kan het gebruikt worden om willekeurige opdrachten uitvoeren en. De code analyse blijkt dat als Mosquito kan worden geïnstalleerd als een aanhoudende dreiging door het toevoegen van een register waarde.

De tweede JavaScript malware leest de inhoud van een bestand in een map systeem en voert de inhoud ervan. Dergelijke virussen worden samen laten vallen met de bijbehorende configuratiebestanden. Ze zijn zeer gevaarlijk omdat hun gedrag kan worden gewijzigd afhankelijk van elke geïnfecteerde gastheer. Het kan een register waarde toe te voegen om een ​​blijvende toestand van de uitvoering te bereiken.

Verwante Story: Malware Code Dat wordt nooit Old, Versie 2017

De Mosquito Backdoor Is Turla Hackers Weapon

De diepgaande analyse van de belangrijkste lading door de Turla groep een achterdeur genaamd Mug. De analisten rekening mee dat dit is een bijgewerkte van een oudere bedreiging die werd gebruikt sinds 2009. Het is vermomd als een Adobe Flash Player installateur en kunnen voor de gek houden de meeste computergebruikers als het legitieme handtekeningen van Adobe bevat. De werkelijke kwaadaardige code is sterk verduisterd (verborgen) met een aangepaste encryptie mechanisme. Zodra de malware payload is ingezet die na een vooraf bepaald gedragspatroon.

Na infectie van de Mosquito achterdeur decodeert zelf en zakt twee bestanden naar systeemmappen. De analisten er rekening mee dat Turla is voorzien van een stealth bescherming techniek dat zoekers naar reeksen die zijn gekoppeld aan beveiligingssoftware. In toekomstige versies kan het ook worden gebruikt tegen andere instrumenten, zoals virtuele machines, sandboxes en debuggen omgevingen. De mug malware verloopt door daar een hardnekkig stand van uitvoering via een run registersleutel of COM kaping. Dit wordt ook gevolgd door een Windows-register wijziging. Als gevolg van de gevaarlijke code wordt uitgevoerd elke keer dat de computer wordt opgestart.

Een informatie verzamelen fase volgt. De malware heeft de mogelijkheid om gevoelige informatie te verkrijgen over het systeem en stuur het naar de hackers via een Adobe-domein. Een deel van de voorbeeld gegevens bevatten de unieke ID van het monster, de gebruikersnaam van het slachtoffer gebruikers of ARP-tabel van het netwerk.

Om de slachtoffers te laten denken dat het een legitieme installateur een echte Adobe Flash setup instantie wordt gedownload en uitgevoerd. Twee bronnen zijn gevonden die in het vastgelegde monsters - Adobe's eigen downloads server en een link Google Drive.

Voordat de belangrijkste backdoor code wordt uitgevoerd het setup-proces zorgt voor een afzonderlijke administratieve met de naam HelpAssistant of HelpAsistant met het wachtwoord “sysQ!123”. Systeemwaarde LocalAccountTokenFilterPolicy ingesteld op 1 (waar) waardoor beheer op afstand. De security experts blijkt dat kan worden gebruikt in combinatie met RAS-operaties door de criminelen.

De Turla Hackers Invention - Mogelijkheden van de Mosquito Backdoor

De belangrijkste backdoor code maakt gebruik van versleutelde Windows-register waarden met behulp van een aangepaste algoritme voor het zelf configureren. De Turla hackers hebben een uitgebreid logbestand schrijver gebundeld. De analisten rekening mee dat het schrijft een tijdstempel voor elke logboekinvoer. Dit is zeer ongebruikelijk voor een backdoor als deze en wordt waarschijnlijk gebruikt door de daders voor de infecties terugvinden.

Net als andere soortgelijke backdoors het verbindt met een hacker-control command and control (C&C) server op elke computer interacties te melden. Dit wordt gedaan via een willekeurige hoeveelheid tijd, een techniek die-heuristiek gebaseerde scans ontwijkt. De hackers kunnen het gebruiken om willekeurige commando's uit te sturen en leiden tot verdere schade aan het geïnfecteerde hosts. De user-agent wordt ingesteld dat ze als Google Chrome (versie 41).

Een lijst met vooraf gedefinieerde instructies voor het programmeren gemakkelijker te maken is gebundeld in de achterdeur. De lijst omvat de volgende gegevens:

  • Downloaden en uitvoeren van een bestand.
  • proces Launch.
  • Bestand verwijderen.
  • file Exfiltratie.
  • Gegevens opslaan naar Registry.
  • Execute Command en verzenden Uitvoer naar C&C-servers.
  • Voeg een C&C URL Server.
  • Verwijderen van een C&C URL Server.
Verwante Story: Miljoenen computers geïnfecteerd met cryptogeld Miners

Lopende Turla Hackers Attack: Hoe kan ik ze tegen

Op het moment dat de Mosquito achterdeur is nog niet afgerond en de veiligheidsonderzoeken blijven zoeken naar de oorsprong van de gevaarlijke indringers het aantal potentiële targets blijft stijgen. De Turla criminele collectief staat bekend om het kunnen breken in high-profieldoelen, veel van hun slachtoffers zijn overheidsinstellingen of grote internationale bedrijven. De social engineering aanvallen zijn opmerkelijk vanwege hun complexiteit, de analist ook rekening mee dat de geavanceerde netwerk-gerelateerde aanvallen zorgvuldig zijn gepland om alle manieren van analyse en intrusion detection te vermijden.

Als de handtekeningen beschikbaar voor het grote publiek bekend zijn raden wij de computers van gebruikers om hun systemen te scannen op malware-infecties.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunters

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...