| Nome | Hammertoss |
| Tipo | Malware de backdoor, Cepa de malware |
| Pequena descrição | Hammertoss emprega serviços legítimos da web, usa algoritmos furtivos e é persistente para pesquisadores forenses’ detecção. |
| ferramenta de detecção | Baixar ferramenta anti-malware, para ver se o seu sistema foi afetado pelo Hammertoss |
Um novo malware russo surgiu na Web. É chamado de Hammertoss e é uma variedade de malware com recursos de backdoor. Hammertoss é atribuído a um grupo russo chamado APT29 e foi descoberto por pesquisadores da FireEye Inc. Eles têm monitorado de perto as atividades do APT29 e até suspeitam que o grupo de hackers tenha algo a ver com o governo russo.
Estágios de ataque Hammertoss explicados
O ataque de Hammertoss consiste em cinco estágios e afeta clientes corporativos. A peça do malware é bastante sofisticada, e seus criadores têm a garantia de cobrir seus rastros da maneira mais furtiva. Os pesquisadores da FireEye identificaram uma série de técnicas. Aqui está como a ferramenta maliciosa opera:
-
1. Empregando servidores da web legítimos - Twitter, GitHub, para recuperar comandos.
2. Algoritmos iniciando identificadores diários e automatizados do Twitter.
3. O emprego cronometrado começa em uma data específica ou dentro de um determinado período, geralmente a semana de trabalho da vítima.
4. Incorporação de imagens com comandos e dados criptografados.
5. Usando uma rede comprometida para fazer upload de arquivos e extrair informações por meio de serviços em nuvem.
A operação Hammertoss começa com o Twitter. É aqui que o malware procura primeiro as instruções. O algoritmo gera identidades diárias do Twitter. Fazer isso, um nome de base é empregado, por exemplo, Mike, e três valores CRC32 com base na data são criados. Aqui está um exemplo do nome de base - labMike.52b. O URL será algo como hxxps://twitter.com/1abMike52b. Se o identificador de um dia não for registrado ou encontrado, bem como o próprio URL, Hammertoss está configurado para esperar até o dia seguinte para tentar mais uma vez se conectar com outra alça. disse brevemente, o malware Hammertoss vai se misturar ao ambiente da vítima e pode permanecer inativo até ser ativado.
Explicação da hashtag do Twitter
Se o APT29 registrou um horário específico do dia, o grupo irá tweetar um URL e uma hashtag. O URL é usado para direcionar Hammertoss para um site que tem uma ou várias imagens. A própria hashtag é usada para fornecer um número de localização e caracteres para anexar a uma chave de criptografia para decifrar as instruções dentro da imagem.
O tweet malicioso contém uma hashtag com instruções para extrair dados criptografados do arquivo de imagem corrompido. Os personagens a serem empregados para o processo de descriptografia são ‘docto’, conforme visível na imagem fornecida pela equipe de pesquisadores da FireEye.
APT29 Hackers Group. Quem está por trás disso?
De acordo com os pesquisadores da FireEye, APT29 é provavelmente patrocinado pelo governo russo. Dar uma olhada nas vítimas e alvos do grupo é o suficiente para fazer tal conclusão. além disso, as atividades maliciosas do grupo geralmente ocorrem durante feriados oficiais russos. O fuso horário de seus ataques geralmente é definido em TC +3 - o fuso horário de cidades como Moscou e São Petersburgo. O cronograma e o desempenho geral do APT29 falam de disciplina rígida e coerência, o que os torna uma das melhores - e mais assustadoras equipes de hackers que existem.
Um dos padrões que diferencia o grupo de outras equipes de hackers é a técnica anti-forense usada para confundir os investigadores forenses e seus métodos. Outro recurso furtivo encontrado nos ataques do APT29 é o monitoramento dos esforços da vítima para derrubá-los. Suas peças de malware são sempre desenvolvidas rapidamente graças às ferramentas de modificação que usam para sabotar a detecção.
para resumir, Hammertoss é projetado para prejudicar as habilidades dos defensores da rede e esforços para reconhecer contas do Twitter usadas para operações de comando e controle, preveja o tráfego de rede malévolo de atividades legítimas, e descobrir as cargas maliciosas ativadas e baixadas pelo malware.
Para entender completamente como o malware Hammertoss funciona, dê uma olhada no relatório.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: