HomeSecurityΤο νέο Reductor malware παραβιάζει την κρυπτογραφημένη με TLS ροή δεδομένων

Το νέο Reductor malware παραβιάζει την κρυπτογραφημένη με TLS ροή δεδομένων

ReductorΣύμφωνα με ερευνητές, η hacking ομάδα APT Turla επιτίθεται σε δίκτυα μέσω ενός νέου κακόβουλου λογισμικού, που ονομάζεται Reductor και θεωρείται διάδοχος του COMpfun. Το λογισμικό λειτουργεί παραβιάζοντας την κρυπτογραφημένη διαδικτυακή δραστηριότητα, που προσφέρει το πρωτόκολλο TLS.

Το Reductor λειτουργεί ως RAT και έχει τη δυνατότητα να μεταφορτώνει, να κατεβάζει και να εκτελεί διάφορα αρχεία στα δίκτυα των θυμάτων, κάνοντας κατάχρηση διάφορων πιστοποιητικών.

Όπως είπαμε και πιο πάνω, το Reductor θεωρείται διάδοχος του COMPfun. Οι ερευνητές έχουν εντοπίσει ισχυρές ομοιότητες στον κώδικα των δύο κακόβουλων λογισμικών. Επίσης, το έχουν συνδέσει με την hacking ομάδα Turla APT.

Η ομάδα Turla APT είναι, επίσης, γνωστή ως Venomous Bear ή Waterbug. Από το 2004 περίπου έχει πραγματοποιήσει κάποιες από τις μεγαλύτερες επιθέσεις σε κυβερνητικά δίκτυα στην Ευρώπη, τη Βόρεια και τη Νότια Αμερική, τη Μέση Ανατολή, την Κεντρική και την Άπω Ανατολή.

#secnews #mercury 

Νέες φωτογραφίες από το μυστηριώδη βόρειο πόλο του Ερμή δίνουν στους επιστήμονες μια καλύτερη εικόνα των μόνιμα σκοτεινών, παγωμένων κρατήρων που μπορεί να κρατούν πάγο πάχους δεκάδων μέτρων, παρόλο που ο Ερμής είναι ο πιο κοντινός πλανήτης στον Ήλιο.

Οι νέες εικόνες αυτών των ψυχρών κρατήρων προέρχονται από την BepiColombo, μια κοινή αποστολή της Ιαπωνικής Υπηρεσίας Αεροδιαστημικής Εξερεύνησης και του Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA). 

Μάθετε περισσότερα για BepiColombo: Ο Βόρειος Πόλος του Ερμή (νέες εικόνες):
https://www.secnews.gr/637523/bepicolombo-nees-eikones-apo-mistiriodi-boreio-polo-ermis/

00:00 Εισαγωγή
00:20 Κρατήρες και θερμοκρασία στον Άρη
01:08 BepiColombo φωτογραφίες 
01:58 Στόχος αποστολής BepiColombo 

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #mercury

Νέες φωτογραφίες από το μυστηριώδη βόρειο πόλο του Ερμή δίνουν στους επιστήμονες μια καλύτερη εικόνα των μόνιμα σκοτεινών, παγωμένων κρατήρων που μπορεί να κρατούν πάγο πάχους δεκάδων μέτρων, παρόλο που ο Ερμής είναι ο πιο κοντινός πλανήτης στον Ήλιο.

Οι νέες εικόνες αυτών των ψυχρών κρατήρων προέρχονται από την BepiColombo, μια κοινή αποστολή της Ιαπωνικής Υπηρεσίας Αεροδιαστημικής Εξερεύνησης και του Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA).

Μάθετε περισσότερα για BepiColombo: Ο Βόρειος Πόλος του Ερμή (νέες εικόνες):
https://www.secnews.gr/637523/bepicolombo-nees-eikones-apo-mistiriodi-boreio-polo-ermis/

00:00 Εισαγωγή
00:20 Κρατήρες και θερμοκρασία στον Άρη
01:08 BepiColombo φωτογραφίες
01:58 Στόχος αποστολής BepiColombo

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRFOFVLRXNBQUpV

BepiColombo: Ο Βόρειος Πόλος του Ερμή (νέες εικόνες)

SecNewsTV 117 minutes ago

Οι επιθέσεις με το Reductor ξεκίνησαν στα τέλη Ιουλίου. Οι hackers χρησιμοποίησαν διάφορα μέσα, όπως το Downloader Manager, το WinRAR, και γνωστά πειρατικά sites (warez) προκειμένου να διανείμουν το κακόβουλο λογισμικό.

Παραβίαση της κρυπτογραφημένης διαδικτυακής κίνησης

Το κακόβουλο λογισμικό χρησιμοποιεί διάφορα πιστοποιητικά (root X509v3 πιστοποιητικά) και τα προσθέτει στο μηχάνημα του θύματος. Επίσης, με τη βοήθεια του named Pipe, οι hackers είναι σε θέση να προσθέσουν πρόσθετα πιστοποιητικά.

Οι hackers μπορούν να σπάσουν το πρωτόκολλο TLS, αναλύοντας απλά τον source code του Firefox και τον binary code του Chrome. Με αυτό τον τρόπο μπορούν να ελέγξουν τις λειτουργίες δημιουργίας ψευδοτυχαίων αριθμών (PRNG).

Το PRNG χρησιμοποιείται από τους browsers για τη δημιουργία της ακολουθίας “client random”. To Reductor επηρεάζει αυτό το πεδίο (client random).

Οι ερευνητές της Kaspersky δήλωσαν: “Το κακόβουλο πρόγραμμα Reductor δεν εκτελεί man-in-the-middle επίθεση (MitM). Ωστόσο, η αρχική μας σκέψη ήταν ότι τα πιστοποιητικά, που εγκαθιστά, μπορούν να διευκολύνουν τις επιθέσεις MitM στην κίνηση TLS. Και το πεδίο “client random”, με το μοναδικό ID θα διευκόλυνε την επίθεση”.

Οι ερευνητές ανακάλυψαν ότι το Reductor έκανε τις επιθέσεις με δύο τρόπους. Ο πρώτος τρόπος ήταν η εκτέλεση του κακόβουλου προγράμματος μέσω του Internet Download Manager, Office Activator.

Ο δεύτερος τρόπος ήταν η εκμετάλλευση συστημάτων που ήταν ήδη μολυσμένα με το COMpfun Trojan. Με αυτόν τον τρόπο οι hackers μπορούσαν να λάβουν διάφορα δεδομένα από τον command and control server.

Υπάρχουν διάφορες εντολές που λαμβάνονται από το διακομιστή C2 και επιτρέπουν την εκτέλεση διαφορετικών λειτουργιών, όπως λήψη και μεταφόρτωση αρχείων, εύρεση του ονόματος του κεντρικού υπολογιστή, ανανέωση του ψηφιακού πιστοποιητικού, δημιουργία νέων διαδικασιών, διαγραφή αρχείων, έλεγχος της σύνδεσης στο Internet και πολλά άλλα.

Οι ερευνητές δεν παρατήρησαν man-in-the-middle επιθέσεις αλλά το Reductor είναι σε θέση να εγκαταστήσει στον υπολογιστή-στόχο ψηφιακά πιστοποιητικά και να επηρεάσει τη διαδικτυακή δραστηριότητα των θυμάτων.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS