Πέμπτη, 21 Ιανουαρίου, 17:53
Αρχική security Η APT ομάδα πίσω από την επιχείρηση Dark Caracal επέστρεψε με νέες...

Η APT ομάδα πίσω από την επιχείρηση Dark Caracal επέστρεψε με νέες επιθέσεις

Σύμφωνα με την Check Point, η APT ομάδα πίσω από την hacking επιχείρηση Dark Caracal επέστρεψε. Οι ερευνητές ασφαλείας της εταιρείας αποκάλυψαν μια νέα σειρά επιθέσεων εναντίον πολλών βιομηχανιών.

Η επιχείρηση Dark Caracal πραγματοποιήθηκε από μια APT ομάδα που συνδέεται με το Λίβανο και τώρα έχει επιστρέψει με νέες επιθέσεις στις οποίες χρησιμοποιεί μια νέα έκδοση ενός backdoor Trojan, που χρησιμοποιείται εδώ και 13 χρόνια και έχει ονομαστεί Bandook.

Dark Caracal

Το Bandook εντοπίστηκε τελευταία φορά σε hacking εκστρατείες του 2015 και του 2017. Λέγεται ότι το backdoor Trojan έχει δημιουργηθεί από κάποιον hacker, ο οποίος το πουλά σε διάφορες APT ομάδες.

Σύμφωνα με την έκθεση της Check Point, κατά τη διάρκεια του περασμένου έτους, δεκάδες παραλλαγές αυτού του malware άρχισαν να επανεμφανίζονται στο τοπίο απειλών.

Στο τελευταίο κύμα επιθέσεων, εντοπίσαμε και πάλι μια ασυνήθιστα μεγάλη ποικιλία στους τομείς και τις τοποθεσίες που στοχεύει το malware. Αυτό ενισχύει περαιτέρω την προηγούμενη υπόθεση ότι το κακόβουλο λογισμικό δεν χρησιμοποιείται από μία οντότητα, αλλά πωλείται από τρίτο μέρος σε κυβερνήσεις και hackers σε όλο τον κόσμο, για τη διευκόλυνση επιθέσεων“.

Στις πρόσφατες επιθέσεις της, η APT ομάδα πίσω από την Dark Caracal έχει στοχεύσει διάφορους τομείς, όπως κυβερνήσεις, εταιρείες οικονομικών, εταιρείες ενέργειας, βιομηχανία τροφίμων, υγειονομική περίθαλψη, εκπαίδευση, πληροφορική και νομικά ιδρύματα.

Τα περισσότερα θύματα της ομάδας εδρεύουν στη Σιγκαπούρη, την Κύπρο, τη Χιλή, την Ιταλία, τις ΗΠΑ, την Τουρκία, την Ελβετία, την Ινδονησία και τη Γερμανία.

Η διαδικασία μόλυνσης γίνεται συνήθως σε τρία στάδια:

Το πρώτο στάδιο χρησιμοποιεί ένα έγγραφο του Word (π.χ. “Certified documents.docx”) που παραδίδεται μέσα σε ένα αρχείο ZIP. Με το άνοιγμα του αρχείου, ενεργοποιούνται κακόβουλες μακροεντολές, οι οποίες στη συνέχεια κατεβάζουν και εκτελούν ένα PowerShell script (δεύτερο στάδιο) κρυπτογραφημένο μέσα στο αρχικό έγγραφο.

Στο τελικό στάδιο της επίθεσης, το PowerShell script κατεβάζει κωδικοποιημένα εκτελέσιμα από νόμιμες υπηρεσίες αποθήκευσης cloud, όπως το Dropbox ή το Bitbucket, και στη συνέχεια κατεβάζει το Bandook loader, το οποίο εισάγει το RAT σε μια νέα διαδικασία του Internet Explorer.

Το Bandook RAT είναι διαθέσιμο σε underground forums από το 2007 και υποστηρίζει συνηθισμένες backdoor εντολές, συμπεριλαμβανομένης της λήψης screenshots και της εκτέλεσης διαφόρων λειτουργιών που σχετίζονται με αρχεία.

Οι ερευνητές της Check Point παρατήρησαν ότι η νέα παραλλαγή του Bandook είναι μια “αδύναμη έκδοση” που υποστηρίζει μόνο 11 από τις 120 εντολές. Αυτό σημαίνει ότι οι hackers προσπαθούν να μην τραβήξουν την προσοχή.

Οι ειδικοί παρατήρησαν διάφορα δείγματα του κακόβουλου λογισμικού που είχαν υπογραφεί ψηφιακά με έγκυρα πιστοποιητικά που εκδόθηκαν από την Certum.

Μερικά από τα χαρακτηριστικά και τις ομοιότητες αυτής της καμπάνιας με προηγούμενες καμπάνιες μάς οδηγούν στο συμπέρασμα ότι η δραστηριότητα που περιγράφουμε σε αυτήν την έκθεση είναι πράγματι η συνέχεια και η εξέλιξη της υποδομής που χρησιμοποιήθηκε για την επιχείρηση Dark Caracal“:

  • Η χρήση του ίδιου παρόχου πιστοποιητικών (Certum) σε όλες τις εκστρατείες.
  • Η χρήση του Bandook Trojan.
  • Ίδια χαρακτηριστικά στις στοχευμένες επιθέσεις.

Όλα τα στοιχεία υποστηρίζουν την πεποίθησή μας ότι οι μυστηριώδεις χειριστές πίσω από την κακόβουλη υποδομή της Dark Caracal είναι ακόμα ζωντανοί και λειτουργικοί“, κατέληξαν οι ερευνητές.

Πηγή: Security Affairs

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...

Microsoft: Το “zero trust” προστατεύει από εξελιγμένες επιθέσεις hacking

Όπως ισχυρίζεται η Microsoft, οι τεχνικές που χρησιμοποίησαν οι hackers της SolarWinds, ήταν εξελιγμένες αλλά συνηθισμένες και αποτρέψιμες.Για να αποφευχθούν μελλοντικές επιθέσεις...