Casa > cibernético Notícias > Blogs de abusos de campanha de espionagem cibernética Blackgear, Social Media Posts
CYBER NEWS

Blogs campanha Espionagem Blackgear do Cyber ​​Abusos, Social Media Posts

Blackgear é uma campanha de espionagem cibernética previamente detectado que remonta a 2008. O malware tem sido conhecido por organizações alvo no Japão, Coréia do Sul e Taiwan, com as metas sendo principalmente órgãos do setor público e empresas de alta tecnologia.




De acordo com relatórios da Trend Micro de 2016, as campanhas de malware foram direcionadas a organizações japonesas onde várias ferramentas de malware foram implantadas, como o Elirks Backdoor. Os ataques contínuos e a persistência das campanhas Blackgear apontam que os operadores cibercriminosos estão bem organizados e desenvolveram suas próprias ferramentas que são atualizadas periodicamente e "ajustadas", conforme observado em um recente relatório de segurança cibernética relatório.

Características Maliciosas do Blackgear

Uma característica notável do Blackgear é o grau em que seus ataques são levados para evitar a detecção, abusar de blogs, microblogging, e serviços de mídia social para ocultar seu comando e controle (C&C) configuração“, Trend Micro disse. esta técnica, que é diferente da prática usual de incorporar os detalhes de comando e controle dentro do malware ajuda os operadores maliciosos a mudar rapidamente seus C&Servidores C sempre que necessário. Essa tática inteligente permite que os criminosos executem suas campanhas pelo tempo que desejarem.

Story relacionado: InvisiMole Spyware: Ferramenta sofisticada para alvejado do Cyber ​​Espionage

Pelo visto, Blackgear tem usado o downloader Marade junto com uma versão do Protux em suas últimas operações. Ao analisar essas amostras maliciosas, os pesquisadores encontraram suas configurações criptografadas em postagens de blogs e mídias sociais, o que pode ser uma indicação de que as ferramentas de malware foram criadas pela mesma gangue do crime cibernético.

Para entender melhor o funcionamento dos mais recentes ataques Blackgear, os pesquisadores correlacionaram as ferramentas e práticas que os criminosos usaram contra seus alvos. Aqui está como a cadeia de ataque do Blackgear gira em torno:

  • Os invasores usam um documento falso ou um arquivo de instalação falso, que é espalhado por meio de e-mail de spam para enganar uma vítima em potencial, fazendo-a interagir com seu conteúdo malicioso.
  • O documento isca é definido para extrair o downloader Marade que se deixa cair na pasta Temp da máquina, aumentando o tamanho do arquivo para mais de 50 MB e contornando as soluções sandbox tradicionais.
  • Em seguida, Marade verifica se o host infectado pode se conectar à Internet e se ele está instalado com um programa antivírus.
  • Caso o host afetado possa se conectar à Internet e não tenha nenhuma proteção AV, Marade continua conectando-se a um blog público controlado por Blackgear (ou postagem nas redes sociais) para rastrear um comando criptografado e configuração de controle. Caso não haja conexão com a internet, o malware usará o C&Detalhes C embutidos em seu código.
  • As strings criptografadas servem como um link magnético para evitar que seu tráfego malicioso seja detectado por programas AV. Então, Marade irá descriptografar as strings criptografadas e recuperar o C&Informação do servidor C.
  • O próximo passo é a implantação do backdoor do Protux. O C&O servidor C irá enviar Protux para a máquina afetada e irá executá-lo. Protux é executado abusando da biblioteca de vínculo dinâmico rundll32 (DLL). Ele testa a rede do host, recupera o C&Servidor C de outro blog, e usa o algoritmo RSA para gerar a chave de sessão e enviar informações para o C&servidor C, os pesquisadores explicaram.
  • Finalmente, As ferramentas de malware da Blackgear são entregues a sistemas direcionados por meio de um executável de extração automática RAR (SFX) arquivos ou Office Visual Basic Script (VBScript) para criar um documento chamariz.

O escopo das campanhas Blackgear

Blackgear está ativo há pelo menos uma década, visando várias indústrias em ataques secretos. O poder do malware parece resultar da maneira como ele pode escapar do software de segurança tradicional. Uma dessas técnicas é a implantação de dois estágios de infecção para cada ataque.

Porque a primeira fase envolve apenas perfis e reconhecimento, é muito possível que o alvo não seja capaz de perceber as intrusões. Pode não haver sinais de intrusão, mesmo depois que a porta dos fundos é inserida com sucesso no sistema alvo, pois os autores do Blackgear usam microblogging e serviços de mídia social para recuperar C&Informação C.




De acordo com os pesquisadores, Os ataques da Blackgear exemplificam a necessidade das organizações desenvolverem e implementarem estratégias de segurança que possam responder de forma proativa a ameaças e crimes cibernéticos. Uma dessas estratégias inclui uma estratégia de caça a ameaças, onde os indicadores de ataque podem ser facilmente validados para determinar se as intrusões são tentativas únicas ou parte de uma campanha maior.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...