ΑρχικήsecurityΟι hackers CactusPete κάνουν upgrade στο Bisonal backdoor

Οι hackers CactusPete κάνουν upgrade στο Bisonal backdoor

Η ομάδα προηγμένων μόνιμων απειλών (APT) CactusPete έχει αναπτύξει το νέο backdoor Bisonal για χρήση σε επιθέσεις εναντίον χρηματοοικονομικών και στρατιωτικών οργανώσεων σε ολόκληρη την Ευρώπη.

Πρώτα εντοπίστηκε το 2013, η ομάδα CactusPete APT – η οποία επίσης χαρακτηρίστηκε ως Karma Panda – έχει συνδεθεί με εκστρατείες εγκληματικότητας στον κυβερνοχώρο σε όλη την Ευρώπη, τη Ρωσία, την Ιαπωνία και τη Νότια Κορέα.

CactusPete backdoor

Οι ερευνητές της Cisco Talos λένε ότι η ομάδα, που ονομάζεται εσωτερικά ως ομάδα του Τορόντο, πιθανότατα είναι μια κρατική ομάδα APT που ανήκει στον κινεζικό στρατό και επικεντρώθηκε στη συλλογή πληροφοριών και την κατασκοπεία.

Οι ερευνητές της Kasperksy Labs έχουν την ίδια γνώμη όσον αφορά τις δραστηριότητες κατασκοπείας. Προσθέτοντας ότι η CactusPete ήταν επίσης γνωστό ότι χτυπάει διπλωματικούς οργανισμούς και οργανισμούς υποδομής και λέει ότι η ομάδα φαίνεται να υποκλέπτει «πολύ ευαίσθητες» πληροφορίες.

Την Πέμπτη, η Kasperksy δημοσίευσε μια ενημέρωση σχετικά με τις δραστηριότητες της APT. Μια νέα εκστρατεία επικεντρωμένη σε στρατιωτικές και οικονομικές ομάδες σε όλη την Ανατολική Ευρώπη πραγματοποιείται, μαζί με τη χρήση μιας νέας παραλλαγής του Bisonal backdoor.

Τον Μάρτιο, η Talos τεκμηρίωσε ένα από τα πιο πρόσφατα στελέχη του Bisonal Trojan που χρησιμοποιείται, ένα ενδιαφέρον component του εργαλείου APT λαμβάνοντας υπόψη την ηλικία του κακόβουλου λογισμικού.

Το Bisonal βρίσκεται σε ενεργή ανάπτυξη για πάνω από μια δεκαετία. Το Trojan χρησιμοποιεί δυναμικό DNS για επικοινωνία με τον διακομιστή εντολών-και-ελέγχου (C2), βελτιώνει συνεχώς τις μονάδες συσκότισης και στις τελευταίες εκδόσεις, περιλαμβάνει επίσης κωδικοποίηση XOR και υποστήριξη για proxy servers, μεταξύ άλλων χαρακτηριστικών.

Ως εργαλείο cyberespionage, το backdoor είναι ικανό να διατηρεί το persistence σε ένα μολυσμένο μηχάνημα, να σαρώνει μονάδες δίσκου, να καταγράφει και να αποβάλλει αρχεία ενδιαφέροντος, να διαγράφει περιεχόμενο, να σκοτώνει διαδικασίες συστήματος και να εκτελεί κώδικα, όπως η εκκίνηση προγραμμάτων.

Σύμφωνα με την Kasperksy, η έρευνα ξεκίνησε με ένα μόνο δείγμα του νέου κακόβουλου λογισμικού τον Φεβρουάριο και από τότε έχουν εμφανιστεί ανά μήνα πάνω από 20 νέα δείγματα της τελευταίας παραλλαγής του Bisonal.

Ένα πρόσφατο tweak είναι η χρήση κωδικοποιημένου κυριλλικού κώδικα κατά τη διάρκεια χειραγώγησης συμβολοσειρών και γενικά εκστρατειών, λόγω των γλωσσών που χρησιμοποιούνται από στόχους που προορίζονται για την Ανατολική Ευρώπη.

Το Bisonal χρησιμοποιείται επίσης σε συνδυασμό με keyloggers και προσαρμοσμένες εκδόσεις του Mimikatz για εξαγωγή δεδομένων και κλοπή διαπιστευτηρίων χρήστη.

Οι προηγούμενες καμπάνιες χρησιμοποιούν μεθόδους ηλεκτρονικού ψαρέματος (phishing), όπως φαινομενικά νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα, για να θέσουν σε κίνδυνο το σύστημα του θύματος. Η Kaspersky λέει ότι ο αρχικός φορέας επίθεσης για την ευρωπαϊκή εκστρατεία είναι άγνωστος, αλλά το spear-phishing είναι πιθανό να συμβαίνει, δεδομένων των προηγούμενων “διαφυγών” της CactusPete.

Η Kaspersky σημείωσε επίσης ότι, ενώ η CactusPete δεν είναι τόσο εξελιγμένο όσο πολλά άλλα APT, είναι πιθανό ότι οι κυβερνοεπιτιθέμενοι έχουν πρόσφατα ενισχυθεί με νέα υποστήριξη και πόρους λόγω της ανάπτυξης πιο περίπλοκου κώδικα και εργαλείων, συμπεριλαμβανομένου του λογισμικού διακομιστή ShadowPad, το 2020.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS