ΑρχικήSecurityΗ ομάδα Billbug στοχεύει κυβερνητικές υπηρεσίες σε χώρες της Ασίας

Η ομάδα Billbug στοχεύει κυβερνητικές υπηρεσίες σε χώρες της Ασίας

Η ομάδα κυβερνοκατασκοπείας Billbug (γνωστή και ως Thrip, Lotus Blossom, Spring Dragon) έχει στοχεύσει μια αρχή έκδοσης πιστοποιητικών, κυβερνητικές υπηρεσίες και αμυντικούς οργανισμούς σε διάφορες χώρες της Ασίας τους τελευταίους μήνες μέσω μιας συνεχιζόμενης εκστρατείας.

Δείτε επίσης: Whoosh παραβίαση δεδομένων: Hacker διέρρευσε στοιχεία πελατών

Billbug

Η ομάδα πραγματοποιεί αυτές τις επιθέσεις εδώ και χρόνια, με τις πιο πρόσφατες να παρατηρούνται από τον Μάρτιο. Πιστεύεται ότι πρόκειται για μια κρατικά χρηματοδοτούμενη ομάδα από την Κίνα.

Οι δραστηριότητές του έχουν τεκμηριωθεί από πολλές εταιρείες κυβερνοασφάλειας τα τελευταία έξι χρόνια.

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 16 Σεπτεμβρίου 2024, 22:01 22:01

Δείτε επίσης: 42.000 ιστότοποι εξαπατούσαν τους χρήστες ώστε να νομίζουν ότι είναι νόμιμα

Σε σημερινή τους έκθεση, οι ερευνητές ασφαλείας της Symantec αναφέρουν ότι η ομάδα Billbug, την οποία παρακολουθούν από το 2018, στόχευσε και μια εταιρεία αρχών έκδοσης πιστοποιητικών. Εάν ήταν επιτυχής, αυτό θα επέτρεπε την ευκολότερη ανάπτυξη υπογεγραμμένου κακόβουλου λογισμικού και θα δυσκόλευε τον εντοπισμό ή την αποκρυπτογράφηση της κυκλοφορίας HTTPS.

Νέα καμπάνια, παλιά εργαλεία

Η Symantec δεν έχει καθορίσει τον τρόπο με τον οποίο η Billbug αποκτά αρχική πρόσβαση στα δίκτυα-στόχους, αλλά έχει δει αποδείξεις ότι αυτό συμβαίνει εκμεταλλευόμενοι εφαρμογές που αντιμετωπίζουν το κοινό με γνωστά τρωτά σημεία.

Όπως και σε άλλες εκστρατείες που αποδίδονται στην ομάδα Billbug, ο απειλητικός παράγοντας συνδυάζει εργαλεία που είναι ήδη εγκατεστημένα στο σύστημα-στόχο, βοηθητικά προγράμματα που είναι διαθέσιμα στο κοινό και κακόβουλο λογισμικό που έχει δημιουργηθεί ειδικά για το σκοπό αυτό. Σε αυτά περιλαμβάνονται:

  • AdFind
  • Winmail
  • WinRAR
  • Ping
  • Tracert
  • Route
  • NBTscan
  • Certutil
  • Port Scanner

Αυτά τα εργαλεία διευκολύνουν τους hackers να περνούν απαρατήρητοι, ενώ συγχέονται με την καθημερινή δραστηριότητα. Με αυτά τα εργαλεία, οι χάκερ μπορούν να αποφύγουν να σημάνουν συναγερμό στα εργαλεία ασφαλείας, καθιστώντας έτσι πιο δύσκολη την απόδοση του hack.

Ένα πιο σπάνια αναπτυσσόμενο εργαλείο ανοιχτού κώδικα που παρατηρείται στις πρόσφατες λειτουργίες του Billbug είναι το Stowaway, ένα εργαλείο proxy πολλαπλών επιπέδων που βασίζεται στο Go που βοηθά τους χρήστες να παρακάμψουν τους περιορισμούς πρόσβασης στο δίκτυο.

Η Symantec μπόρεσε να συνδέσει τις πρόσφατες επιθέσεις με την Billbug επειδή χρησιμοποίησε δύο backdoors που είχαν παρατηρηθεί σε προηγούμενες επιθέσεις της: Hannotog και Sagerunex.

Ορισμένες λειτουργίες του backdoor Hannotog περιλαμβάνουν την αλλαγή των ρυθμίσεων του firewall για την ενεργοποίηση όλης της κυκλοφορίας, το persistence στο μηχάνημα που έχει παραβιαστεί, τη μεταφόρτωση κρυπτογραφημένων δεδομένων, την εκτέλεση εντολών CMD και τη λήψη αρχείων στη συσκευή.

Το Sagerunex γίνεται drop από το Hannotog και γίνεται inject σε μια διαδικασία “explorer.exe”. Στη συνέχεια, γράφει logs σε ένα τοπικό αρχείο temp κρυπτογραφημένο χρησιμοποιώντας τον αλγόριθμο AES (256-bit).

Το configuration και η κατάσταση του backdoor αποθηκεύονται τοπικά και κρυπτογραφούνται με RC4. Ωστόσο, τα κλειδιά και για τα δύο αυτά χαρακτηριστικά είναι κωδικοποιημένα στο malware.

Δείτε επίσης: Σφάλμα σε συσκευές Apple προκαλεί κατάρρευση του Safari όταν πληκτρολογούνται ορισμένα γράμματα

Το Sagerunex χρησιμοποιεί HTTPS για να επικοινωνεί με τον command and command server, στέλνοντας μια λίστα ενεργών proxies και αρχείων, καθώς και για να λαμβάνει payload και shell commands από τους χειριστές. Επιπλέον, μπορεί να εκτελέσει προγράμματα και DLL χρησιμοποιώντας το “runexe” ή το “rundll”.

Η ομάδα Billbug χρησιμοποιεί τα ίδια custom backdoors με ελάχιστες αλλαγές άνα τον χρόνο.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS