ΑρχικήSecurityΕρευνητές ασφαλείας αναλύουν PowerShell scripts που χρησιμοποιούνται από Ρώσους hacker

Ερευνητές ασφαλείας αναλύουν PowerShell scripts που χρησιμοποιούνται από Ρώσους hacker

PowerShell

Οι ερευνητές ασφαλείας της ESET, διεξάγουν έρευνες πάνω σε PowerShell scripts που χρησιμοποιήθηκαν σε πρόσφατες επιθέσεις από μία Ρώσικη ομάδα hacking, με την ονομασία Turla.

Κύριοι στόχοι της ομάδας είναι διάφορες διπλωματικές οργανώσεις, όπως ο στρατός των ΗΠΑ και της Γαλλίας και το γερμανικό Υπουργείο Εξωτερικών, αλλά και οντότητες στη Μέση Ανατολή.

Η ομάδα, που έχει γίνει γνωστή και με άλλες ονομασίες όπως Snake, Waterbug, KRYPTON και Venomous Bear, ξεκίνησε πρόσφατα τη χρήση PowerShell scripts για τη φόρτωση και την εκτέλεση malware, σε μια προσπάθεια να παρακάμψει την ανίχνευση. Σύμφωνα με τους ερευνητές της Eset, ενώ παλιότερα η ομάδα χρησιμοποιούσε έναν loader βασισμένο στο Posh-SecMod, έχει πλέον τελειοποιήσει τα PowerShell script της.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 95 minutes ago

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 9 hours ago

Ο PowerShell loader της ομάδας σχεδιάστηκε ώστε να επιτυγχάνει persistence, να αποκρυπτογραφεί τον κώδικα και να φορτώνει στη μνήμη το ενσωματωμένο εκτελέσιμο αρχείο ή βιβλιοθήκη. Για το σκοπό αυτό, η Turla χρησιμοποιεί Windows Management Instrumentation (WMI) ή μεταβολή του PowerShell profile.

Η πρώτη μέθοδος βασίζεται στη δημιουργία δύο WMI event filters και δύο WMI event consumers για την εκκίνηση εντολών PowerShell και τη φόρτωση ενός script που είναι αποθηκευμένο στο μητρώο των Windows. Η δεύτερη μέθοδος περιλαμβάνει την αλλαγή του PowerShell profile, το οποίο είναι ένα script που εκτελείται όταν εκκινείται το PowerShell και έχει ως αποτέλεσμα την εκτέλεση μιας εντολής PowerShell παρόμοιας με αυτή που χρησιμοποιείται στα WMI consumers.

Οι ερευνητές ανακάλυψαν επίσης ορισμένα δείγματα από το Μάρτιο του 2019, τα οποία έχουν τροποποιήσεις για την παράκαμψη του Antimalware Scan Interface (AMSI), ένα interface που επιτρέπει στις εφαρμογές Windows να ενοποιηθούν με το εγκατεστημένο antimalware.

Η εταιρεία ESET αποκάλυψε ότι οι hackers χρησιμοποίησαν PowerShell scripts για να φορτώσουν payloads, συμπεριλαμβανομένων ενός RPC backdoor και ενός PowerShell backdoor.

Η ομάδα Turla φημίζεται για τη χρήση backdoors, που βασίζονται στο πρωτόκολλο RPC. Τα backdoors επιτρέπουν στην ομάδα να αποκτήσει τον έλεγχο άλλων μηχανημάτων στο τοπικό δίκτυο ακόμα και όταν δεν υπάρχει ένας εξωτερικός C & C server.

Με τη χρήση του RPC backdoor, οι hackers μπορούν να φορτώνουν και να κατεβάζουν αρχεία και να εκτελούν εντολές μέσω cmd.exe ή PowerShell. Το backdoor χωρίζεται σε δύο μέρη και διαθέτει έναν client, που δίνει τη δυνατότητα στους hackers να εκτελέσουν εντολές σε συστήματα, όπου είναι εγκατεστημένος ένας server.

Ένα από τα PowerShell backdoors, που έχει αναπτύξει η ομάδα Turla είναι το PowerStallion. Πρόκειται για ένα ελαφρύ εργαλείο, το οποίο χρησιμοποιεί την online υπηρεσία αποθήκευσης της Microsoft, OneDrive, ως C & C server. Επίσης, εκμεταλλεύεται τη δωρεάν υπηρεσία email, GMX.

Σύμφωνα με την ESET, το κακόβουλο λογισμικό χρησιμοποιείται ως εργαλείο ανάκτησης της πρόσβασης. Δηλαδή οι hackers το χρησιμοποιούν, σε περίπτωση που τα κύρια backdoors, όπως το Carbon ή το Gazer αφαιρεθούν και δεν υπάρχει πια δυνατότητα πρόσβασης στους μολυσμένους υπολογιστές.

Μπορεί η ομάδα Turla να χρησιμοποιεί τώρα open-source εργαλεία, αλλά αυτό δεν σημαίνει ότι έχει πάψει να χρησιμοποιεί τα προσαρμοσμένα εργαλεία της. Στην πραγματικότητα, τα payloads, που φορτώνονται από τα PowerShell scripts, καθώς και το RPC backdoor και το PowerStallion, ανήκουν στη δεύτερη κατηγορία εργαλείων.

Η ESET δήλωσε ότι η ομάδα Turla θα συνεχίσει να μας απασχολεί για πολύ καιρό, αφού αναπτύσσει συνεχώς νέα και πολύπλοκα κακόβουλα λογισμικά.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS