ΑρχικήsecurityΟι hackers της ομάδας StrongPity στοχεύουν Συρία και Τουρκία

Οι hackers της ομάδας StrongPity στοχεύουν Συρία και Τουρκία

Οι ερευνητές της κυβερνοασφάλειας αποκάλυψαν σήμερα νέες λεπτομέρειες σχετικά με τις επιθέσεις ενάντια στην κουρδική κοινότητα στη Συρία και την Τουρκία που γίνονται με σκοπό το exfiltration πληροφοριών. Οι hackers της ομάδας StrongPity, επανήλθαν με νέες τακτικές για τον έλεγχο των παραβιασμένων συστημάτων, δήλωσε η εταιρεία Bitdefender σε μια έκθεση που μοιράστηκε με το The Hacker News.

“Χρησιμοποιεί τακτικές «watering hole» για να μολύνει επιλεκτικά τα θύματα και αναπτύσσει μια υποδομή C&C τριών επιπέδων. Η ομάδα αξιοποίησε τα δημοφιλή εργαλεία Trojanized, όπως archivers, εφαρμογές ανάκτησης αρχείων, εφαρμογές απομακρυσμένων συνδέσεων, βοηθητικά προγράμματα και ακόμη και λογισμικό ασφαλείας, για να καλύψει ένα ευρύ φάσμα επιλογών που μπορεί να αναζητούν τα στοχευμένα θύματα”, ανέφεραν οι ερευνητές.

Με τις χρονικές σημάνσεις των αναλυθέντων δειγμάτων malware που χρησιμοποιήθηκαν στην εκστρατεία να συμπίπτουν με την τουρκική επίθεση στη βορειοανατολική Συρία (με την κωδική ονομασία Operation Peace Spring) τον περασμένο Οκτώβριο, η Bitdefender αναφέρει ότι οι επιθέσεις θα μπορούσαν να είχαν πολιτικά κίνητρα.

StrongPity Τουρκία

Χρήση μολυσμένων προγραμμάτων εγκατάστασης για το “drop του malware”

Το StrongPity (ή Promethium) αναφέρθηκε για πρώτη φορά δημόσια τον Οκτώβριο του 2016 μετά από επιθέσεις εναντίον χρηστών στο Βέλγιο και την Ιταλία που χρησιμοποίησαν «watering holes» για να παραδώσουν κακόβουλες εκδόσεις του λογισμικού κρυπτογράφησης αρχείων WinRAR και TrueCrypt.

Από τότε, το APT group έχει συνδεθεί με μια λειτουργία του 2018 που καταχράστηκε το δίκτυο της Türk Telekom για να ανακατευθύνει εκατοντάδες χρήστες στην Τουρκία και τη Συρία σε κακόβουλες StrongPity εκδόσεις αυθεντικού λογισμικού.

Έτσι, όταν οι στοχευμένοι χρήστες προσπαθούν να κατεβάσουν μια νόμιμη εφαρμογή στον επίσημο ιστότοπο, πραγματοποιείται μια επίθεση watering hole ή μια ανακατεύθυνση HTTP που έχει ως στόχο να θέσει τα συστήματα σε κίνδυνο.

Τον περασμένο Ιούλιο, η AT&T Alien Labs βρήκε αποδεικτικά στοιχεία για μια νέα εκστρατεία spyware που εκμεταλλεύτηκε trojanized εκδόσεις του λογισμικού διαχείρισης router WinBox και το WinRAR για να εγκαταστήσει το StrongPity και να επικοινωνήσει με την αντίπαλη υποδομή.

Η νέα μέθοδος επίθεσης που προσδιορίστηκε από την Bitdefender παραμένει η ίδια: στοχεύει θύματα στην Τουρκία και τη Συρία χρησιμοποιώντας μια προκαθορισμένη λίστα IP αξιοποιώντας παραβιασμένους installers – συμπεριλαμβανομένων των McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp και Piriform’s CCleaner – που φιλοξενούνται σε τοπικά συγκεντρωτικά λογισμικά και κοινόχρηστους χρήστες.

“Είναι ενδιαφέρον ότι όλα τα αρχεία που ερευνήθηκαν σχετικά με τις μολυσμένες εφαρμογές φαίνεται να έχουν συνταχθεί από Δευτέρα έως Παρασκευή, κατά τη διάρκεια ενός κανονικού οχτάωρου εργασίας τύπου 9 το πρωί με 6 το απόγευμα”, ανέφεραν οι ερευνητές. “Αυτό ενισχύει την ιδέα ότι το StrongPity θα μπορούσε να είναι μια χρηματοδοτούμενη και οργανωμένη ομάδα προγραμματιστών που πληρώνεται για την παράδοση συγκεκριμένων “project”.”

Μόλις κατεβάσετε και εκτελέσετε το πρόγραμμα εγκατάστασης κακόβουλου λογισμικού, εγκαθίσταται το backdoor, το οποίο καθιερώνει επικοινωνία με διακομιστή εντολών και ελέγχου για την αποβολή εγγράφων και για την ανάκτηση εντολών που θα εκτελεστούν.

Επίσης, αναπτύσσει ένα component ” File Searcher ” στο μηχάνημα του θύματος που περιβάλλει κάθε drive και αναζητά αρχεία με συγκεκριμένες επεκτάσεις (π.χ. έγγραφα του Microsoft Office) που θα εξαχθούν με τη μορφή αρχείου ZIP.

Αυτό το αρχείο ZIP διαχωρίζεται έπειτα σε πολλά κρυμμένα κρυπτογραφημένα αρχεία .sft, αποστέλλονται στον διακομιστή C&C και τελικά διαγράφονται από το δίσκο για να καλύψουν τυχόν κομμάτια του exfiltration.

Επέκταση πέρα ​​από τη Συρία και την Τουρκία

Παρόλο που η Συρία και η Τουρκία μπορεί να είναι οι επαναλαμβανόμενοι στόχοι τους, ο απειλητικός παράγοντας πίσω από το StrongPity φαίνεται να επεκτείνει τη θυματολογία τους για να μολύνει χρήστες στην Κολομβία, την Ινδία, τον Καναδά και το Βιετνάμ χρησιμοποιώντας μολυσμένες εκδόσεις των Firefox, VPNpro, DriverPack και 5kPlayer.

Ονομάζοντας το StrongPity3, οι ερευνητές της Cisco Talos περιέγραψαν χθες μια εξελισσόμενη εργαλειοθήκη κακόβουλου λογισμικού που χρησιμοποιεί ένα module που ονομάζεται “winprint32.exe” για να ξεκινήσει η αναζήτηση εγγράφων και να μεταδοθούν τα συλλεγόμενα αρχεία. Επιπλέον, το ψεύτικο πρόγραμμα εγκατάστασης του Firefox ελέγχει εάν είναι εγκατεστημένο είτε ένα λογισμικό ESET είτε κάποιο antivirus BitDefender πριν από το λεγόμενο “drop” του malware.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS