Πέμπτη, 21 Ιανουαρίου, 22:03
Αρχική security Οι hackers CactusPete κάνουν upgrade στο Bisonal backdoor

Οι hackers CactusPete κάνουν upgrade στο Bisonal backdoor

Η ομάδα προηγμένων μόνιμων απειλών (APT) CactusPete έχει αναπτύξει το νέο backdoor Bisonal για χρήση σε επιθέσεις εναντίον χρηματοοικονομικών και στρατιωτικών οργανώσεων σε ολόκληρη την Ευρώπη.

Πρώτα εντοπίστηκε το 2013, η ομάδα CactusPete APT – η οποία επίσης χαρακτηρίστηκε ως Karma Panda – έχει συνδεθεί με εκστρατείες εγκληματικότητας στον κυβερνοχώρο σε όλη την Ευρώπη, τη Ρωσία, την Ιαπωνία και τη Νότια Κορέα.

CactusPete backdoor

Οι ερευνητές της Cisco Talos λένε ότι η ομάδα, που ονομάζεται εσωτερικά ως ομάδα του Τορόντο, πιθανότατα είναι μια κρατική ομάδα APT που ανήκει στον κινεζικό στρατό και επικεντρώθηκε στη συλλογή πληροφοριών και την κατασκοπεία.

Οι ερευνητές της Kasperksy Labs έχουν την ίδια γνώμη όσον αφορά τις δραστηριότητες κατασκοπείας. Προσθέτοντας ότι η CactusPete ήταν επίσης γνωστό ότι χτυπάει διπλωματικούς οργανισμούς και οργανισμούς υποδομής και λέει ότι η ομάδα φαίνεται να υποκλέπτει «πολύ ευαίσθητες» πληροφορίες.

Την Πέμπτη, η Kasperksy δημοσίευσε μια ενημέρωση σχετικά με τις δραστηριότητες της APT. Μια νέα εκστρατεία επικεντρωμένη σε στρατιωτικές και οικονομικές ομάδες σε όλη την Ανατολική Ευρώπη πραγματοποιείται, μαζί με τη χρήση μιας νέας παραλλαγής του Bisonal backdoor.

Τον Μάρτιο, η Talos τεκμηρίωσε ένα από τα πιο πρόσφατα στελέχη του Bisonal Trojan που χρησιμοποιείται, ένα ενδιαφέρον component του εργαλείου APT λαμβάνοντας υπόψη την ηλικία του κακόβουλου λογισμικού.

Το Bisonal βρίσκεται σε ενεργή ανάπτυξη για πάνω από μια δεκαετία. Το Trojan χρησιμοποιεί δυναμικό DNS για επικοινωνία με τον διακομιστή εντολών-και-ελέγχου (C2), βελτιώνει συνεχώς τις μονάδες συσκότισης και στις τελευταίες εκδόσεις, περιλαμβάνει επίσης κωδικοποίηση XOR και υποστήριξη για proxy servers, μεταξύ άλλων χαρακτηριστικών.

Ως εργαλείο cyberespionage, το backdoor είναι ικανό να διατηρεί το persistence σε ένα μολυσμένο μηχάνημα, να σαρώνει μονάδες δίσκου, να καταγράφει και να αποβάλλει αρχεία ενδιαφέροντος, να διαγράφει περιεχόμενο, να σκοτώνει διαδικασίες συστήματος και να εκτελεί κώδικα, όπως η εκκίνηση προγραμμάτων.

Σύμφωνα με την Kasperksy, η έρευνα ξεκίνησε με ένα μόνο δείγμα του νέου κακόβουλου λογισμικού τον Φεβρουάριο και από τότε έχουν εμφανιστεί ανά μήνα πάνω από 20 νέα δείγματα της τελευταίας παραλλαγής του Bisonal.

Ένα πρόσφατο tweak είναι η χρήση κωδικοποιημένου κυριλλικού κώδικα κατά τη διάρκεια χειραγώγησης συμβολοσειρών και γενικά εκστρατειών, λόγω των γλωσσών που χρησιμοποιούνται από στόχους που προορίζονται για την Ανατολική Ευρώπη.

Το Bisonal χρησιμοποιείται επίσης σε συνδυασμό με keyloggers και προσαρμοσμένες εκδόσεις του Mimikatz για εξαγωγή δεδομένων και κλοπή διαπιστευτηρίων χρήστη.

Οι προηγούμενες καμπάνιες χρησιμοποιούν μεθόδους ηλεκτρονικού ψαρέματος (phishing), όπως φαινομενικά νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα, για να θέσουν σε κίνδυνο το σύστημα του θύματος. Η Kaspersky λέει ότι ο αρχικός φορέας επίθεσης για την ευρωπαϊκή εκστρατεία είναι άγνωστος, αλλά το spear-phishing είναι πιθανό να συμβαίνει, δεδομένων των προηγούμενων “διαφυγών” της CactusPete.

Η Kaspersky σημείωσε επίσης ότι, ενώ η CactusPete δεν είναι τόσο εξελιγμένο όσο πολλά άλλα APT, είναι πιθανό ότι οι κυβερνοεπιτιθέμενοι έχουν πρόσφατα ενισχυθεί με νέα υποστήριξη και πόρους λόγω της ανάπτυξης πιο περίπλοκου κώδικα και εργαλείων, συμπεριλαμβανομένου του λογισμικού διακομιστή ShadowPad, το 2020.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...