ΑρχικήSecurityEarth Kitsune: Χρησιμοποιεί το νέο WhiskerSpy malware στις επιθέσεις της

Earth Kitsune: Χρησιμοποιεί το νέο WhiskerSpy malware στις επιθέσεις της

Οι ερευνητές έχουν εντοπίσει ένα καινούργιο backdoor που ονομάζεται WhiskerSpy και χρησιμοποιείται από τον απειλητικό παράγοντα Earth Kitsune που στοχεύει άτομα που ενδιαφέρονται για τη Βόρεια Κορέα.

Ο απειλητικός παράγοντας χρησιμοποίησε μια δοκιμασμένη μέθοδο και επέλεξε θύματα από επισκέπτες σε μια ιστοσελίδα υπέρ της Βόρειας Κορέας, μια τακτική που είναι γνωστή ως επίθεση από λάκκους.

Η νέα επιχείρηση ανακαλύφθηκε στα τέλη του περασμένου έτους από ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro, οι οποίοι παρακολουθούν τη δραστηριότητα του Earth Kitsune από το 2019.

Δείτε επίσης: IT security budgets: Έχουν αυξηθεί δραστικά τα τελευταία 5 χρόνια

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis 
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi 

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpNVzNRUzl1UUYw

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό

SecNewsTV 4 Οκτωβρίου 2024, 17:25 17:25

#secnews #markzuckerberg #richest 

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg 
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #markzuckerberg #richest

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRLRDZFUUs4cDg4

Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰

SecNewsTV 4 Οκτωβρίου 2024, 15:02 15:02

Earth Kitsune WhiskerSpy

“Watering hole” επίθεση

Η Trend Micro ανακάλυψε ότι το WhiskerSpy εξαπλώνεται όταν οι επισκέπτες προσπαθούν να παρακολουθήσουν βίντεο σε έναν μολυσμένο ιστότοπο. Ο χάκερ κατάφερε να διεισδύσει στον ιστότοπο και να προσθέσει ένα κακόβουλο script που ζητά από τα θύματα να εγκαταστήσουν έναν κωδικοποιητή βίντεο προκειμένου να αναπαραχθεί το περιεχόμενο πολυμέσων.

Για να παραμείνει απαρατήρητος, ο δράστης τροποποίησε ένα νόμιμο πρόγραμμα εγκατάστασης κωδικοποιητή έτσι ώστε να εγκαταστήσει τελικά “ένα άγνωστο backdoor” στο σύστημα-στόχο.

Σύμφωνα με τα ευρήματά τους, οι ερευνητές αποκάλυψαν ότι ο κακόβουλος δράστης στόχευε μόνο τους επισκέπτες του ιστότοπου που είχαν διευθύνσεις IP από τη Shenyang στην Κίνα, τη Nagoya στην Ιαπωνία και τη Βραζιλία.

Δείτε επίσης: Fuser-master: Βάζει σε κίνδυνο τους ιστότοπους του WordPress

Τα στοιχεία υποδεικνύουν ότι η Βραζιλία χρησιμοποιήθηκε μόνο ως πεδίο δοκιμών για την επίθεση watering hole- η Κίνα και η Ιαπωνία ήταν πιθανότατα οι πραγματικοί στόχοι αυτής της κακόβουλης δραστηριότητας. Οι χρήστες που επισκέπτονταν αυτές τις δύο πόλεις θα έβλεπαν ένα ψεύτικο μήνυμα σφάλματος που θα τους ζητούσε να εγκαταστήσουν έναν κωδικοποιητή προκειμένου να παρακολουθήσουν βίντεο, αυξάνοντας έτσι περαιτέρω την έκθεσή τους στον κίνδυνο.

Earth Kitsune

Στην πραγματικότητα, ο κωδικοποιητής είναι ένα εκτελέσιμο MSI που εγκαθιστά shellcode στον υπολογιστή του θύματος. Αυτό το shellcode ενεργοποιεί στη συνέχεια εντολές PowerShell οι οποίες τελικά αναπτύσσουν το WhiskerSpy backdoor.

Οι ερευνητές σημειώνουν ότι μια τεχνική persistence που χρησιμοποίησε ο απειλητικός παράγοντας Earth Kitsune σε αυτήν την καμπάνια κάνει abuse τον “native messaging host” στο Google Chrome και εγκαθιστά μια κακόβουλη επέκταση του Google Chrome που ονομάζεται Google Chrome Helper.

Ο στόχος της επέκτασης είναι να διασφαλίσει ότι το payload θα εκτελείται κάθε φορά που εκκινείται το πρόγραμμα περιήγησης.

Ένας εναλλακτικός τρόπος απόκτησης persistence είναι η εκμετάλλευση των ευαισθησιών side-loading του OneDrive που επιτρέπουν το drop ενός κακόβουλου αρχείου (ψεύτικο “vcruntime140.dll”) στο OneDrive directory.

Πληροφορίες για το WhiskerSpy

Το WhiskerSpy είναι το κύριο payload που χρησιμοποιείται στην τελευταία καμπάνια «Earth Kitsune», παρέχοντας στους απομακρυσμένους χειριστές τις ακόλουθες δυνατότητες:

  • διαδραστικό shell
  • λήψη αρχείου
  • ανέβασμα αρχείου
  • διαγραφή φακέλου
  • δημιουργία λίστας αρχείων
  • λήψη screenshot
  • εισαγωγή του shellcode σε μια διαδικασία

Το backdoor επικοινωνεί με τον command and control (C2) server χρησιμοποιώντας ένα κλειδί AES 16 byte για κρυπτογράφηση.

Το WhiskerSpy συνδέεται περιοδικά στο C2 για ενημερώσεις σχετικά με την κατάστασή του και ο server μπορεί να ανταποκρίνεται με οδηγίες για το malware, όπως εκτέλεση shell command, εισαγωγή κώδικα σε άλλη διεργασία, εξαγωγή συγκεκριμένων αρχείων, λήψη screenshot.

WhiskerSpy

Η Trend Micro ανακάλυψε μια παλαιότερη έκδοση του WhiskerSpy που χρησιμοποιεί το πρωτόκολλο FTP αντί για HTTP για επικοινωνία C2. Αυτή η παλαιότερη παραλλαγή ελέγχει επίσης για την παρουσία ενός προγράμματος εντοπισμού σφαλμάτων κατά την εκτέλεση και ενημερώνει το C2 με τον κατάλληλο κωδικό κατάστασης.

Δείτε επίσης: Κυβερνοεπίθεση στο δίκτυο υπολογιστών του FBI

Παρόλο που οι ερευνητές δεν είναι απόλυτα σίγουροι ότι την συγκεκριμένη επίθεση πραγματοποιεί η ομάδα Earth Kitsune, ο τρόπος λειτουργίας και οι στόχοι της είναι συγκρίσιμοι με δραστηριότητες που έχουν συνδεθεί προηγουμένως με την ομάδα.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS