Ευπάθειες σε password managers μπορούν να χρησιμοποιηθούν από χάκερς
infosec

Ευπάθειες σε password managers μπορούν να χρησιμοποιηθούν από χάκερς

Οι ερευνητές του ISE δήλωσαν την Τρίτη ότι οι password managers 1Password, KeePass, LastPass και Dashline έχουν ευπάθειες που θα...
Read More
infosec

Το Rietspoof malware εξαπλώνεται μέσω Facebook Messenger και Skype

Σε μια έκθεση που δημοσιεύθηκε το Σάββατο (16 Φεβρουαρίου), οι ερευνητές περιέγραψαν ένα νέο malware, τo οποίo χαρακτήρισαν ως «κακόβουλο...
Read More
infosec

Κινέζοι και Ιρανοί hacker ανανεώνουν τις επιθέσεις τους στις Αμερικάνικες εταιρείες

Επιχειρήσεις και κυβερνητικές υπηρεσίες στις Ηνωμένες Πολιτείες έχουν γίνει στόχος επιθέσεων από Ιρανούς και Κινέζους hacker που οι ειδικοί της...
Read More
infosec

Το Microsoft Teams εκτός λειτουργίας. Επιτυχής αποκατάσταση

Ο μεγάλος ανταγωνιστής του Slack της Microsoft, το Microsoft Teams, βρέθηκε εκτός λειτουργίας χτες. Οι χρήστες αντιμετώπισαν προβλήματα σύνδεσης με...
Read More
infosec

Hacked από Ινδούς το website του Υπουργείου Εξωτερικών του Πακιστάν

Εν μέσω έντονων εντάσεων μεταξύ Ινδίας και Πακιστάν μετά από τη θανατηφόρα επίθεση Pulwama στις 14 Φεβρουαρίου, το Σάββατο, ο...
Read More
Latest Posts

Το Sundown είναι κλεμμένα exploits από άλλα Exploit Kits

Το Sundown Exploit Kit (EK), το οποίο προσπαθεί να καλύψει το κενό που άφησαν τα Angler και Nuclear EK, δεν είναι τίποτα περισσότερο από μια συλλογή αντιγραμμένων exploits, σύμφωνα με την ομάδα SpiderLabs της Trustave.

Το Sundown, που πρώτη φορά επισημάνθηκε τον Ιούνιο του 2015, ήταν για μεγάλο χρονικό διάστημα ένας “μικρός παίκτης” στην αγορά των EK, πάντα κατώτερο του ανταγωνισμού, κάτι που ακόμη και οι δημιουργοί του το γνώριζαν και σπάνια έμπαιναν στον κόπο να ενημερώσουν το εργαλείο τους.

Το Sundown είναι κλεμμένα exploits από άλλα Exploit Kits

Τα πράγματα άλλαξαν μετά την εξαφάνιση των Angler και Nuclear από την αγορά αυτή την άνοιξη, κάτι που επισημάνθηκε από την Zscaler πριν από τρεις μήνες, τον Ιούνιο, όταν η εταιρεία ανακοίνωσε μια απότομη αύξηση δραστηριότητας από τους δημιουργούς του Sundown, το Γιουγκοσλαβικό Δίκτυο Επιχειρήσεων (Yugoslavian Bussiness Network – YBN).

Τρεις μήνες αργότερα, η Trustwave αναφέρει ότι αυτή η αύξηση στη δραστικότητα απέδωσε ένα ενισχυμένο Exploit kit, αλλά όχι με τον τρόπο πολλοί περίμεναν.

Αντί να αναπτύξουν τα δικά τους exploits, η ομάδα του Sundown απλώς έκλεψε exploits από άλλα EKs ή αντέγραψε κάποια που ήταν διαθέσιμα δωρεάν στο διαδίκτυο.

Σύμφωνα με μια τεχνική ανάλυση της Sundown exploitation chain, οι Trustwave ερευνητές βρήκαν τέσσερα διαφορετικά exploits:

Λένε ότι το YBN έκλεψε πρώτα από το Angler (IE exploit – CVE-2015-2419), το δεύτερο κλάπηκε από την RIG EK (Silverlight exploit – CVE-2016-0034), το τρίτο το πήρε από την Hacking Team data dump (Flash exploit – CVE-2015-5119) και το τέταρτο το έκλεψαν από το Magnitude EK (Flash exploit – CVE-2016-4117).

Η ομάδα του Angler, η οποία ήταν στην πραγματικότητα μια ομάδα εγκληματιών που αρχικά ανέπτυξαν το Lurk banking trojan, ήταν διάσημη για την προσθήκη πάντα νέων exploits στα EK τους, από τότε που εμφανίστηκαν στην αγορά.

Σχεδόν σίγουρα, η ομάδα του YBN δεν θα αποκτήσει νέους πελάτες, εκτός αν αρχίσουν να προσφέρουν καλύτερα exploits, αλλά και νεότερα. Η ομάδα χρειάζεται και ένα μεγαλύτερο οπλοστάσιο, δεδομένου ότι 4-5 exploits είναι δύσκολο να καλύψουν όλες τις βάσεις για μια σοβαρή malvertising καμπάνια.

Η ανιαρή προσπάθεια του Sundown είναι και ο λόγος για τον οποίο σε μια πρόσφατη Zscaler έκθεση αναφέρει τα Neutrino και RIG ως τα δύο κορυφαία exploits, με τα Magnitude και Sundown να μένουν πίσω στην κατάταξη.

Σύμφωνα με την Zscaler, τους τελευταίους μήνες, το Neutrino ως επί το πλείστον χρησιμοποιείται για την παράδοση των Gamarue malware dropper, Tofsee backdoor trojan και CryptXXX και CripMIC ransomware.

Από την άλλη πλευρά, το Rig διανέμει το Tofsee, το Cerber ransomware, καθώς και τα Gootkit και Vawtrack banking trojans. Το Magnitude συνέχισε να εξαπλώνει το Cerber ransomware, όπως έκανε πάντα.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *