Casa > cibernético Notícias > Cavalo de Troia Asnarok personalizado tem como alvo os firewalls em ataques altamente destrutivos
CYBER NEWS

Trojan Asnarok personalizado segmenta firewalls em ataques altamente destrutivos

por   |  Última atualização:  |  0 Comentários  

Foi detectado um grupo de hackers muito experiente que invadiu redes e firewalls usando um malware chamado Trojan Asnarok, também conhecido como Asnarök.

Este é um ataque coordenado muito recente, marcado como altamente destrutivo. Foi feito um grande esforço para analisar as capacidades e os danos do cavalo de Troia nas redes de vítimas.




Os ataques do Trojan Asnarok: a infecção inicial

Na semana passada, vários ataques de alto impacto foram feitos contra a infraestrutura de rede e firewalls, protegendo-os de vários proprietários de empresas. A investigação mostra que a fonte inicial de infecções parece ser causada por um bug de injeção SQL desconhecido. O resultado de uma exploração bem-sucedida é o lançamento de um ataque ao firewall que protege a rede de destino.

Essa tática fornece duas suposições muito importantes relacionadas aos hackers por trás da operação de Trojan. A primeira é que o alvo provavelmente é bem pesquisado pelo grupo criminoso — parece que os hackers descobriram um bug perigoso que aprenderam a explorar. Para executá-lo, será necessário verificar se o sistema possui todos os requisitos: um servidor de banco de dados executando a versão de software necessária e um firewall conectado que pode ser explorado. Tudo isso pode ser feito iniciando verificações manuais ou usando kits de ferramentas de hackers complicados carregados com as variáveis ​​e opções necessárias. Também é possível que tudo isso seja feito pelo próprio Trojan Asnarok.

A análise das operações de Trojan mostra que a injeção de SQL é realmente um código de uma linha que é colocado em um dos bancos de dados existentes. Isso fará com que o seridor de banco de dados recupere um arquivo de um servidor controlado por hackers, hospedado em um nome de domínio que parece muito seguro e legítimo para os administradores, pois representa um fornecedor de firewall. O arquivo é o conta-gotas real, responsável pela instalação e operação do Trojan. O arquivo é descartado em uma pasta temporária projetada para armazenar arquivos que nem sempre são usados ​​pelo sistema, modificado para ser executável por usuários e processos e iniciá-lo.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-15715-hijack-zoom-conference-sessions/”]CVE-2018-15715: Hackers podem roubar Zoom Conferência Sessões

Trojan Asnarok desencadeado: Impacto nos sistemas

Assim que o script de instalação for acionado nos computadores contaminados, a primeira ação será executar uma série de comandos SQL. Eles são projetados para modificar ou excluir certos valores armazenados nas tabelas do banco de dados, um deles é a exibição do endereço IP administrativo do dispositivo contaminado. Segundo os pesquisadores, isso é feito para ocultar a presença da infiltração.

O script do instalador da carga útil iniciará outros dois scripts separados que serão baixados e executados da mesma pasta temporária. Suas ações serão modificar a configuração dos firewalls implantados, serviços de tempo de inicialização e outros aplicativos em execução. Um mecanismo adicional que é executado pelo mecanismo é o instalação persistente de todo o código de malware. Sempre que o dispositivo é iniciado, os scripts são iniciados. Alguns aplicativos e serviços comuns em execução podem ser interrompidos ou modificados. Um dos scripts será estabelecer a conexão Trojan que conectará a máquina seqüestrada a um servidor remoto de onde um programa será baixado. Isso executará um firewall de malware que substituirá o software em execução padrão.

As conseqüências das ações do Trojan incluem roubo de dados que pode incluir conteúdo do banco de dados e dados do sistema da máquina. As informações coletadas podem ser usadas para criar um ID exclusivo, com base nos dados extraídos. A análise completa do Trojan Asnarok parece seqüestrar os seguintes dados: endereço IP público, chave de licença do firewall, Informações da conta de usuário SQL, senhas de administrador, Usuários e políticas de VPN. Os dados coletados serão arquivados usando o comando tar e depois criptografado usando OpenSSL. O arquivo resultante será enviado aos hackers através da conexão de rede Trojan.

Logo após a infecção inicial, o fornecedor lançou um patch para todos os dispositivos vulneráveis. As atualizações automáticas dos firewalls devem ser ativadas para que o arquivo seja recuperado da empresa e aplicado automaticamente. Para mais informações, referem-se ao relatório inicial.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Os Melhores Gadgets Hacker (Devices) para 2020 Este artigo foi criado para mostrar quais são os...
  2. CVE-2022-41328 no FortiOS explorado em ataques altamente direcionados Unknown threat actors have exploited a security flaw in Fortinet’s...
  3. Topo 5 A maioria dos MacOS Destrutivos Malware Pieces MacOS da Apple, assim como o sistema operacional da Microsoft Windows, foi...
  4. CaddyWiper: Outro limpador destrutivo visando a Ucrânia Pesquisadores de segurança divulgam outro limpador de dados voltado para a Ucrânia, CaddyWiper....
  5. DeathStalker Hacking Group por trás de ataques devastadores contra pequenas e médias empresas em todo o mundo The DeathStalker hacking group is a recently discovered malware group...
  6. CVE-2018-7602 Bug Drupal altamente crítico ativamente exploradas no selvagem Drupalgeddon continua com mais um bug de execução remota de código...
  7. CVE-2019-6340: Uma nova falha altamente crítica em Drupal Uma nova vulnerabilidade altamente crítica, identificado como CVE-2019-6340, was just...
  8. CVE-2018-5924 altamente crítico em impressoras HP, Atualize o firmware agora! A couple of new critical security flaws were found in...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo