Os coletivos criminosas estão se tornando ativa contra redes de computadores em todo o mundo. Os especialistas detectaram uma nova onda de ataques que estão sendo orquestrada pelos hackers Rancor contra vários computadores localizados na Ásia, aproveitando o PLAINTEE e famílias de malware DDKONG. Este grupo foi previamente conhecido por criar Trojans em ataques direcionados contra organizações.
Descoberta do Rancor Hackers e sua PLAINTTEE e DDKONG Malware
ataques de hackers alvo tornaram-se um dos mais táticas perigosas nos últimos dois anos. Eles podem ter ainda mais prejudicial conseqüências como eles na maioria das vezes dependem de vulnerabilidades de segurança e infecções do computador utilizando código personalizado ou cepas de Tróia sofisticados. Esta é a razão pela qual eles podem ser muito mais devastador do que infecções por vírus comuns, incluindo aqueles com ransomware.
O coletivo criminoso foi descoberto após uma análise de uma ameaça conhecida como a KHRAK Trojan. Foi usado em um ataque sofisticado em agosto 2017 contra os usuários de computador no Camboja. O método de distribuição principal foi o uso de documentos do Microsoft Word infectados que usou táticas de engenharia social para infectar o maior número possível de usuários. Uma vez que o built-in macros (Scripts) são ativados o built-in motor irá lançar um comando de download que recupera o restante do vírus. Os shows de análise de segurança que os pedidos de rede utilizar um endereço de domínio DropBox falsa que é um truque usado para impedir que os administradores de sistema e contramedidas de defesa automatizados de detectar as operações suspeitas.
Após a sua instalação, ele irá criar um troiano instância que se conecta a um servidor controlado por hackers. Isso permite que os hackers rancor para espionar as vítimas, implantar ameaças adicionais e também assumir o controle das máquinas a qualquer momento.
O KHRAK Trojan é uma peça importante do quebra-cabeça, como verificou-se que uma estratégia similar está sendo operado contra alvos na Ásia. A forma como as infecções são realizadas mostras de que os mesmos atores estão por trás dos ataques em curso. Os relatórios mostram que o coletivo é alvo Cingapura e Camboja.
O PLAINTTEE Leverage Rancor Hackers e DDKONG Malware contra alvos asiáticos
Os ataques mais uma vez usar mensagens de e-mail de spam como o principal método de distribuição. Os relatórios indicam que os hackers rancor estiver usando elementos retirados de artigos de notícias que foco primário em notícias políticas e acontecimentos contemporâneos. Isto dá aos especialistas uma razão para acreditar que os atacantes estão alvejando entidades principalmente políticos.
Uma das características mais perigosas das mensagens de e-mail é que eles são hospedados em legítima senta, incluindo aqueles que são hospedados pelo Governo Camboja e redes sociais, incluindo Facebook. Durante a análise dos especialistas em segurança, note que alguns dos KHRAT Trojan comandos e servidores estão sendo usados. Existem dois grupos distintos (nomeado “Cluster A” e “Cluster B”) que utilizam estratégias de phishing separados. Este passo é realizado de modo a aumentar a relação entre a infecção.
Capacidades DDKONG Malware
A análise de código dos shows de malware DDKONG que as primeiras versões do que remontam a outubro 2017. Isso mostra que é muito possível que o código do vírus pode ter sido compartilhado com outros grupos ou hackers.
DDKong é feito de três partes: ServiceMain, Rundll32Call e DllEntryPoint. Quando a primeira parte é executado ele irá carregar-se como um serviço e, em seguida, lançar o segundo módulo. Isso é feito de modo a permitir uma instalação persistente. ameaças semelhantes modificar o sistema, desativando certos menus de recuperação e modos e tornar o vírus iniciar automaticamente quando o computador for inicializado. Isso faz com que a remoção manual de usuário muito difícil.
A função Rundll32Call inicia um monitor de serviço que garante que apenas uma única instância está sendo executada em um tempo. O terceiro módulo é entregue em uma forma codificada e decodificada ao vivo no sistema uma vez que os dois módulos anteriores foram bem sucedidos em execução. Esta etapa é necessária para evitar que o software de segurança de usar scans baseados em assinaturas para detectar o malware finais. O módulo final (DllEntryPoint) cria uma conexão segura com um servidor controlado por hackers, que é usado para relatar as infecções. Ele também permite que os hackers para instalar outras ameaças, espionar as vítimas e assumir o controle das máquinas.
Capacidades PLAINTEE Malware
O malware PLAINTEE é uma ameaça sofisticada que foi encontrada para usar um protocolo UDP costume de se comunicar com os hackers. Como DDKONG ele usa phishing e-mails para a infecção inicial e, logo que o malware faz o seu caminho para as máquinas de destino ele vai começar a sua built-in padrão de comportamento.
A análise de código sobre as cepas mostra capturados que as primeiras ações feitas pela ameaça estão relacionados com a Registro do Windows. O vírus instala-se como um ameaça persistente mascarando-se como um “microsoft Áudio” serviço. Ele cria uma nova entrada de pasta que se apresenta como um componente pertencente ao sistema operacional. Após este monitor um serviço de sistema é chamado, que monitora e garante que apenas uma única instância está sendo executado em um momento.
O próximo passo é para executar um colheita de dados motor que é usado para o gerado identificação do utilizador único. A lista dos valores recolhidos inclui as seguintes informações:
- Especificações do processador & Memória instalada
- Placa-mãe e componentes instalados
- Configurações regionais
- Valores User-Set Operating System
Como o DDKONG malware neste ameaça específica também usa um protocolo de segurança personalizado para se comunicar com os servidores controlados por hackers. Os dados colhidos é automaticamente enviado e uma sequência de resposta e pedido é estabelecida. As interacções observadas sinalizar que os hackers podem usar vários comandos. Bem como recuperar a lista de dados sensíveis a conexão pode ser usado para implantar ameaças adicionais.
A análise realizada revela que o motor também pode recuperar a lista de aplicações e serviços em execução, bem como as conexões de rede disponíveis. Isso pode ser usado para implantar ameaças adicionais, assumir o controle de suas máquinas e espionar os usuários em tempo real.
Consequências da PLAINTTEE e DDKONG Malware Infecções pelo rancor Hackers
Os ataques contínuos que se originam dos hackers rancor parece ser dirigida apenas a região do Sudeste da Ásia. É muito provável que eles vêm de um país localizado nesta área, como eles estão usando um esquema de phishing baseados em engenharia social sofisticada. Um dos aspectos mais perigosos da ameaça é que ele usa protocolos personalizados, este evade tanto a detecção das ameaças de malware, bem pelo software de segurança e também análise de rede.
A conclusão análise confirma mais uma vez que as estirpes de complexos, tais como este são particularmente perigoso. A investigação continua como os pesquisadores de segurança continuam a monitorar o panorama do malware.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: