Μια ομάδα hacking που προέρχεται απο την Κίνα και είναι γνωστή ως LuoYu μολύνει θύματα με το κακόβουλο λογισμικό κλοπής πληροφοριών WinDealer που αναπτύσσεται μέσω της εναλλαγής νόμιμων ενημερώσεων εφαρμογών με κακόβουλα payloads σε επιθέσεις man-on-the-side.
Για να το καταφέρουν αυτό οι απειλητικοί φορείς παρακολουθούν ενεργά την κυκλοφορία δικτύου των στόχων τους για αιτήματα ενημέρωσης εφαρμογών που συνδέονται με δημοφιλείς ασιατικές εφαρμογές, όπως το QQ, το WeChat και το WangWang και τα αντικαθιστούν με προγράμματα εγκατάστασης WinDealer.
Αυτό που κάνει το WinDealer είναι ότι βοηθά τους εισβολείς να αναζητήσουν και να συλλάβουν μεγάλες ποσότητες δεδομένων από παραβιασμένα συστήματα Windows, να εγκαταστήσουν backdoors για να διατηρήσουν τη σταθερότητα να χειριστούν αρχεία και να εκτελέσουν αυθαίρετες εντολές.
Αντί δηλαδή να χρησιμοποιεί τις κοινές πληροφορίες hard-coded command-and-control (C2) server, το WinDealer θα συνδεθεί σε μια τυχαία διεύθυνση IP ChinaNet (AS4134) απο τις επαρχίες Xizang και Guizhou απο μια ομάδα 48.000 διευθύνσεων IP, σύμφωνα με ερευνητές ασφαλείας της Karspersky που εντόπισε αυτή τη νέα μέθοδο παράδοσης.
Δεδομένου οτι ο έλεγχος του συνόλου αυτών των IP είναι πιθανότατα αδύνατος, οι εξηγήσεις για το πως η ομάδα LuoYu μπορεί να το κάνει αυτο περιλαμβάνουν τη χρήση παραβιασμένων routers “στο route προς η εντός του AS4134”, τη χρήση εργαλείων law enforcement σε επίπεδο ISP ή “μεθόδους πληροφοριών άγνωστες στο ευρύ κοινό”.
Η ομάδα LuoYu έχει προχωρήσει στην κατάχρηση του μηχανισμού αυτόματης ενημέρωσης των εφαρμογών των θυμάτων του, αφού προηγουμένως ωθούσε malware σε πιο εύκολες επιθέσεις όπου θα χρησιμοποιούσαν παραβιασμένους τοπικούς ιστότοπους ειδήσεων ως φορείς μόλυνσης.
Ο Suguru Ishimaru ανώτερος ερευνητής ασφάλειας της Kaspersky αναφέρει πως οι επιθέσεις Man-on-the-side είναι εξαιρετικά καταστροφικές, καθώς η μόνη προυπόθεση που απαιτείται ώστε να γίνει η επίθεση σε μια συσκευή είναι να είναι συνδεδεμένη στο διαδίκτυο. Ακόμα και αν αποτύχει την πρώτη φορά η επίθεση, οι εισβολείς μπορούν να επαναλάβουν αυτή την διαδικασία όσες φορές χρειαστεί μέχρι να πετύχουν τον στόχο τους.
“Ανεξάρτητα απο το πώς έχει πραγματοποιηθεί η επίθεση, ο μόνος τρόπος για τα πιθανά θύματα να αμυνθούν είναι να παραμείνουν σε εγρήγορση και να έχουν ισχυρές διαδικασίες ασφάλειας, όπως τακτικές σαρώσεις προστασίας απο ιούς, ανάλυση εξερχόμενης κίνησης δικτύου και εκτεταμένη καταγραφή για τον εντοπισμό ανωμαλιών” συνέχισε λέγοντας.
Η LuoYu πέρα από τις επιθέσεις τις σε κορεάτικους και ιαπωνικούς οργανισμούς τουλάχιστον από το 2014, είναι επίσης γνωστή για της επιθέσεις σε ξένους διπλωματικούς οργανισμους στην Κίνα, στην ακαδημαϊκή κοινότητα και σε οργανισμούς απο πολλούς κλάδους της βιομηχανίας συμπεριλαμβανομένης της άμυνας και των τηλεπικοινωνιών.
Η ομάδα παγκόσμιας έρευνας και ανάλυσης της Kaspersky (GReAT) έχει εντοπίσει και περιστασιακές μολύνσεις σε άλλες χώρες όπως η Γερμανία, η Αυστρία, οι Ηνωμένες Πολιτείες, η Τσεχία, η Ρωσία και η Ινδια. Πρόσφατα η LuoYu άρχισε να καταδιώκει και εταιρείες στην Ανατολική Ασία και υποκαταστήματα που βρίσκονται στην Κίνα.
Εκτός απο τη στόχευση συσκευών Windows χρησιμοποιώντας το WinDealer αυτή η λιγότερο γνωστή ομάδα hacking έχει παρατηρηθεί στο παρελθόν να επιτίθεται σε συσκευές macOS, Linux και Android με κακόβουλο λογισμικό Demsty (ReverseWindow) και SpyDealer.
Πηγή πληροφοριών: bleepingcomputer.com
