Κυριακή, 29 Μαρτίου, 16:05
Αρχική security Η Fancy Bear επέστρεψε με ανανεωμένο backdoor malware

Η Fancy Bear επέστρεψε με ανανεωμένο backdoor malware

Μια πρόσφατη εκστρατεία επίθεσης που ξεκίνησε η Fancy Bear έχει αποκαλύψει ένα ενημερωμένο σύνολο εργαλείων που περιλαμβάνει ένα backdoor γραμμένο σε μια νέα γλώσσα. Η Fancy Bear, γνωστή και ως APT28, Sednit, Sofacy και Strontium, είναι μια ομάδα APT (advanced persistent threat) που έχει συνδεθεί με μια σειρά πολιτικά παρακινημένων επιθέσεων. Τα προηγούμενα θύματα της APT περιλαμβάνουν την Εθνική Δημοκρατική Επιτροπή των ΗΠΑ (DNC), τον Παγκόσμιο Οργανισμό Anti-Doping (WADA), τον Ουκρανικό στρατό, τον Σύνδεσμο Αθλητικών Ομοσπονδιών (IAAF) και διάφορες κυβερνητικές οντότητες. Πιστεύεται ότι η Fancy Bear είναι ρωσική ομάδα και λειτουργεί τουλάχιστον από το 2004, αναπτύσσοντας και αλλάζοντας διαρκώς το οπλοστάσιό της, συμπεριλαμβανομένης μιας ποικιλίας από malware payload όπως τα Trojans και UEFI rootkits.

Fancy Bear

Οι cyberattackers μπορεί επίσης να έχουν συνδέσεις με την Earworm, μια άλλη ομάδα που λειτουργεί με πολιτικά κίνητρα, δεδομένης της χρήσης των κοινών command-and-control (C2) server. Μια νέα καμπάνια της Fancy Bear έχει ανακαλυφθεί από την ESET. Η ομάδα, χρησιμοποιεί phishing email που περιέχουν κακόβουλα payloads, καθώς και ένα νέο backdoor σύστημα.

Έχει προστεθεί μια νέα γλώσσα προγραμματισμού, η Nim, η οποία σχεδιάστηκε για να συγκεντρώνει πτυχές της Python, της Ada και της Modula. Ένας από τους downloaders του κακόβουλου λογισμικού έχει γραφτεί σε Nim.

Το phishing email περιέχει ένα συνημμένο Word το οποίο είναι κενό, αλλά αναφέρεται σε ένα απομακρυσμένο template που φιλοξενείται στο Dropbox, wordData.dotm. Το template έχει ενσωματωμένες κακόβουλες μακρο-εντολές οι οποίες τρέχουν το lmss.exe, το νέο πρόγραμμα λήψης Nim για το Trojan Zebrocy. Ένα άλλο πρόγραμμα download φορτώνεται από τη Nim module. Αυτό το payload είναι γραμμένο σε Golang και βασίζεται στον κώδικα Delphi.

Συνολικά, έξι κακόβουλες ενότητες περιλαμβάνονται στην αλυσίδα επίθεσης πριν από την τελική ανάπτυξη ενός backdoor Golang. Οι hacker θα χρησιμοποιήσουν αυτά τα στοιχεία για να συλλέξουν βασικές πληροφορίες για την μεταφορά στο C2 τους, καθώς και για να τραβάνε screenshot κάθε 35 δευτερόλεπτα κατά τη διάρκεια των πρώτων λεπτών της μόλυνσης και στο τέλος να καταφέρουν να αρπάξουν επιπλέον payloads και εντολές από το C2.

“Φαίνεται ότι η ομάδα Sednit μεταφέρει τον αρχικό κώδικα σε άλλες γλώσσες ή τις επανεγγράφει, με την ελπίδα να αποφύγει την ανίχνευση”, λέει η ESET. “Είναι μάλλον ευκολότερο με αυτόν τον τρόπο και αυτό σημαίνει ότι δεν χρειάζεται να αλλάξουν ολόκληρο το TTP [Tactics, Techniques and Procedures] τους . Ο αρχικός συμβιβαστικός φορέας παραμένει αμετάβλητος, αλλά η χρήση μιας υπηρεσίας όπως το Dropbox για τη λήψη ενός απομακρυσμένου προτύπου είναι ασυνήθιστη για την ομάδα. “

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πώς η τηλεργασία κάνει τους χρήστες πιο ευάλωτους στους χάκερς;

Ο Κοροναϊός έχει μολύνει περισσότερους από 450.000 ανθρώπους παγκοσμίως και τώρα οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η πανδημία θα...

Ποιες είναι οι πιο συχνές απειλές για τις επιχειρήσεις;

Κατά τη διάρκεια του 2019, οι μισές περίπου επιχειρήσεις έπεσαν θύμα μιας κυβερνοεπίθεσης ή παραβίασης δεδομένων. Σχεδόν...

Τρεις ακόμα συμμορίες ransomware εκθέτουν δεδομένα θυμάτων σε sites

Τρεις ακόμη συμμορίες ransomware ανακοίνωσαν τη δημιουργία sites, που χρησιμοποιούνται για τη διαρροή κλεμμένων δεδομένων, που ανήκουν...

Zoom: Ποια χαρακτηριστικά του το καθιστούν πιο δημοφιλές από το Skype;

Κάποτε το Skype ήταν η δημοφιλέστερη εφαρμογή βιντεοκλήσεων καθώς την επέλεγε ένα τεράστιο ποσοστό ανθρώπων όταν επρόκειτο να επικοινωνήσουν εξ αποστάσεως. Το...

Το «Control» και άλλα παιχνίδια διαθέσιμα πλέον στο GeForce Now

Η NVIDIA έχει εμπλουτίσει τον κατάλογο των παιχνιδιών που υποστηρίζονται στο GeForce Now, με ένα πλήθος νέων...

Ευπάθεια παράκαμψης VPN ανακαλύφθηκε στο Apple iOS

Μία νέα ευπάθεια «VPN Bypass», η οποία ανακαλύφθηκε πρόσφατα στο Apple iOS, μπλοκάρει την κρυπτογράφηση που πραγματοποιούν...

Εργοδότες παρακολουθούν με λογισμικά επιτήρησης τους υπαλλήλους που δουλεύουν από το σπίτι

Ο κορωνοϊός έχει φέρει νέες συνθήκες στον τομέα της εργασίας. Όλο και περισσότεροι εργαζόμενοι δουλεύουν πλέον από το σπίτι και όλο και...

Microsoft: Κυκλοφόρησε το πρώτο preview του Powershell 7.1 για Windows, Linux και macOS

Η Microsoft κυκλοφόρησε το πρώτο preview του PowerShell 7.1, του εργαλείου αυτοματοποίησης και γραφής γλώσσας για τα Windows, Linux και macOS. Το...

Η Google ανακοίνωσε ζητήματα σχετικά με τις ενημερώσεις του Chrome

Η Google έχει ήδη ανακοινώσει ορισμένες περικοπές στην ανάπτυξη του προγράμματος περιήγησης Chrome και τώρα φαίνεται ότι...

7 τρόποι για να αυξήσετε την ταχύτητα και την αξιοπιστία του Wi-Fi σας!

Τώρα που πολλοί από εμάς είμαστε στο σπίτι συνέχεια ως αποτέλεσμα της πανδημίας του COVID-19, υπερφορτώνουμε το οικιακό μας δίκτυο. Παρακάτω θα...