Κυριακή, 5 Απριλίου, 08:09
Αρχική security Οι APT10 hackers επιστρέφουν με νέα loaders και νέες εκδόσεις payloads

Οι APT10 hackers επιστρέφουν με νέα loaders και νέες εκδόσεις payloads

APT10 Η κινεζική ομάδα hackers, γνωστή με το όνομα APT10, χρησιμοποιεί δύο νέα malware loaders και νέες εκδόσεις γνωστών payloads, για την πραγματοποίηση επιθέσεων σε κυβερνητικούς και ιδιωτικούς οργανισμούς στη Νοτιοανατολική Ασία.

Η ομάδα APT10 εμφανίστηκε το 2009. Έκτοτε, έχει πραγματοποιήσει διάφορες επιθέσεις. Τον Απρίλιο του 2017, κάποιοι ειδικοί ασφαλείας αποκάλυψαν μια μεγάλη hacking εκστρατεία, γνωστή με το όνομα, Operation Cloud Hopper. Η εκστρατεία στόχευσε πολλές υπηρεσίες και εταιρείες σε όλο τον κόσμο.

Τον Ιούλιο του 2018, η FireEye εντόπισε νέες επιθέσεις της ομάδας APT10, κατά τις οποίες οι hackers έστελναν phishing emails σε υπαλλήλους εταιρειών, τα οποία περιείχαν πειραγμένα αρχεία Word, με σκοπό την εγκατάσταση UPPERCUT backdoor στα συστήματα των θυμάτων.

Τον Σεπτέμβριο του 2018, οι APT10 hackers οργάνωσαν μια εκστρατεία, που είχε στόχο τα ιαπωνικά μέσα ενημέρωσης. Όμως, οι ερευνητές από την FireEye κατάφεραν να την ανακαλύψουν και να την μπλοκάρουν.

Οι πρόσφατες επιθέσεις της ομάδας APT10 έλαβαν χώρα τον Απρίλιο του 2019 και εντοπίστηκαν από τους ερευνητές της enSilo. Οι ερευνητές διαπίστωσαν ότι οι hackers χρησιμοποίησαν τροποποιημένες εκδόσεις γνωστού κακόβουλου λογισμικού.

Οι ειδικοί συνέδεσαν τις επιθέσεις του Απριλίου με την κινεζική ομάδα κατασκοπείας, καθώς οι δύο παραλλαγές των loaders και τα payloads, που αναλύθηκαν, χρησιμοποιούν παρόμοιες Τακτικές, Τεχνικές, Διαδικασίες (TTPs). Επίσης, χρησιμοποιούν κώδικα, που σχετίζεται με την ομάδα APT10.

Τα δύο loaders μεταφέρουν διαφορετικά payloads στα θύματα, ωστόσο, και οι δύο παραλλαγές εγκαθιστούν τα ακόλουθα αρχεία:

jjs.exe – νόμιμο εκτελέσιμο, JVM-based javascript ως μέρος της πλατφόρμας Java, που λειτουργούσε ως loader για το κακόβουλο λογισμικό.
jli.dll – κακόβουλο αρχείο DLL
msvcrt100.dll – νόμιμο DLL του Microsoft C Runtime
svchost.bin – δυαδικό αρχείο

Και οι δύο παραλλαγές εξυπηρετούν διάφορα payloads, συμπεριλαμβανομένων των PlugX και Quasar RAT, τα οποία επιτρέπουν την απομακρυσμένη πρόσβαση σε συστήματα.

Σύμφωνα με τις έρευνες, τα payloads, που χρησιμοποιούν οι hackers στις τελευταίες τους επιθέσεις, είναι ακόμα σε στάδιο ανάπτυξης.

Οι ειδικοί καταλήγουν στο ότι, αν και οι δύο παραλλαγές του loader έχουν κάποιες διαφορές, ωστόσο, χρησιμοποιούν τον ίδιο μηχανισμό αποκρυπτογράφησης και μετάδοσης του κακόβουλου κώδικα.

Περισσότερες τεχνικές λεπτομέρειες από την enSilo.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Απομακρυσμένη εργασία: Πώς μπορούν να “επιβιώσουν” οι επιχειρήσεις;

Η απομακρυσμένη εργασία είναι μία πολιτική που ακολουθούν επιχειρήσεις όλων των μεγεθών ενόψει της πανδημίας του Κορωνοϊού. Τις τελευταίες εβδομάδες έχει σημειωθεί...

Samsung: Δωρεά αξίας $ 29 εκατομμυρίων για την μάχη ενάντια στον κορωνοϊό

Η Samsung Electronics προχώρησε σε μια δωρεά αξίας $ 29 εκατομμυρίων σε κυβερνήσεις και κοινότητες που έχουν...

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι;

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι; Έχετε αναρωτηθεί αν αυτές τις μέρες -λόγω πανδημίας η πλειοψηφία εργάζεται από...

Επιθέσεις Ransomware και DDoS: Οι κυβερνοεγκληματίες εντείνουν τις δραστηριότητές τους εν μέσω του κορωνοϊού

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τις ανησυχίες γύρω από την επιδημία του κορωνοϊού σε μια προσπάθεια μεγιστοποίησης του αντίκτυπου των επιθέσεων...

Ερευνητές προτείνουν μέθοδο παρακολούθησης του κορωνοϊού μέσω των smartphone

Καθώς ο COVID-19 συνεχίζει να εξαπλώνεται, οι ερευνητικές ομάδες σε ολόκληρο τον κόσμο χρησιμοποιούν το χρόνο και τις δεξιότητές τους για να...

Το μήνυμα της Zoom προς τους πελάτες της για τα θέματα ασφαλείας

Μετά την πρόσφατη ανακάλυψη των κενών ασφαλείας στην εφαρμογή Zoom, η εταιρεία δημοσίευσε μία επίσημη απάντηση προς...

Cache: Κρυμμένα αρχεία στην προσωρινή μνήμη επιβραδύνουν το Google Chrome

Το Google Chrome ανήκει στην κατηγορία των πιο δημοφιλών browsers και χρησιμοποιείται από μεγάλο ποσοστό χρηστών. Ωστόσο, έχει ένα σημαντικό αρνητικό χαρακτηριστικό...

Πώς να συνδέσω και να ρυθμίσω ακουστικά στο Windows 10 PC;

Τα ακουστικά είναι ένα πολύ χρήσιμο εργαλείο επικοινωνίας, ιδιαίτερα αυτή την περίοδο, που οι περισσότεροι εργαζόμαστε από...

APT Hackers χρησιμοποιούν το Crimson RAT εναντίον Ινδικών τραπεζών

Σύμφωνα με ερευνητές ασφαλείας στον κυβερνοχώρο, μία νέα καμπάνια APT, χρησιμοποιεί το Crimson RAT και επιτίθεται σε...

ProtonMail: Κυκλοφόρησε νέα εφαρμογή για να συνδέεστε τοπικά

ProtonMail - Κυκλοφόρησε νέα εφαρμογή για να συνδέεστε τοπικά: Οι επιθέσεις στο διαδίκτυο αυξάνονται καθημερινά και η...