Μια νέα εκστρατεία κακόβουλου λογισμικού που στοχεύει την αζερική υποδομή ανακαλύφθηκε από το Deep Instinct Threat Lab. Η εκστρατεία ξεχωρίζει για τη χρήση ενός καινοτόμου εμφυτεύματος κακόβουλου λογισμικού που έχει γραφτεί στη γλώσσα προγραμματισμού Rust.
Η εκστρατεία έχει τουλάχιστον δύο διαφορετικά initial access vector. Το πρώτο είναι ένα κακόβουλο αρχείο LNK με το όνομα αρχείου “1.KARABAKH.jpg.lnk”. Αυτό το αρχείο έχει διπλή επέκταση για να παρασύρει το θύμα να κάνει κλικ, καθώς φαίνεται να είναι ένα αρχείο εικόνας που σχετίζεται με την πρόσφατη στρατιωτική σύγκρουση στο Ναγκόρνο-Καραμπάχ.
Το αρχείο LNK κατεβάζει και εκτελεί ένα πρόγραμμα εγκατάστασης MSI που φιλοξενείται στο Dropbox. Αυτό το πρόγραμμα εγκατάστασης κάνει drop στη συνέχεια ένα εμφύτευμα γραμμένο σε Rust, ένα αρχείο XML για μια προγραμματισμένη εργασία για την εκτέλεση του εμφυτεύματος και ένα αρχείο decoy image. Το image file περιλαμβάνει υδατογραφήματα του συμβόλου του Υπουργείου Άμυνας του Αζερμπαϊτζάν (MOD).
Δείτε επίσης: Αζερμπαϊτζάν: Το news outlet Mikroskop δέχτηκε επίθεση ransomware
Το δεύτερο initial access vector είναι μια τροποποιημένη έκδοση ενός εγγράφου που χρησιμοποιήθηκε προηγουμένως από την ομάδα Storm-0978. Αυτό το έγγραφο εκμεταλλεύεται το CVE-2017-11882 στο Microsoft Equation Editor για να κατεβάσει και να εγκαταστήσει ένα κακόβουλο αρχείο MSI. Αυτό το αρχείο MSI παράγει επίσης μια παραλλαγή του ίδιου Rust implant, καθώς και ένα decoy PDF invoice.
Μόλις εκτελεστεί το εμφύτευμα Rust, κοιμάται για 12 λεπτά. Αυτή είναι μια γνωστή μέθοδος για την αποφυγή εντοπισμού από ερευνητές ασφαλείας και sandboxes. Στη συνέχεια, το εμφύτευμα αναμένεται να συγκεντρώσει πληροφορίες και να τις στείλει στον διακομιστή του εισβολέα.
Σύμφωνα με τη δημοσίευση στο ιστολόγιο του Deep Instinct Threat Lab, δεν ήταν δυνατό να αποδοθούν αυτές οι επιθέσεις σε κάποιο γνωστό απειλητικό παράγοντα. Ωστόσο, το γεγονός ότι και τα δύο Rust implants δεν εντοπίστηκαν αρχικά από το VirusTotal δείχνει ότι η κατασκευή κακόβουλου λογισμικού με esoteric languages μπορεί να παρακάμψει πολλές λύσεις ασφαλείας.
Συνέπειες της Εκστρατείας
Η χρήση ενός εμφυτεύματος Rust σε αυτήν την καμπάνια είναι σημαντική για διάφορους λόγους. Πρώτον, η Rust είναι μια σχετικά νέα γλώσσα προγραμματισμού και δεν χρησιμοποιείται ακόμη ευρέως από δημιουργούς κακόβουλου λογισμικού. Αυτό καθιστά πιο δύσκολο για τα προϊόντα ασφαλείας να εντοπίσουν κακόβουλο λογισμικό Rust.
Δεύτερον, η Rust είναι μια μεταγλωττισμένη γλώσσα, που σημαίνει ότι ο κακόβουλος κώδικας μετατρέπεται σε μηχανικό κώδικα πριν εκτελεστεί. Αυτό το καθιστά πιο δύσκολο να αναστραφεί ο κακόβουλος κώδικας.
Δείτε επίσης: Τρεις αναδυόμενες τάσεις που διαμορφώνουν αυτήν τη στιγμή το τοπίο ransomware
Οι συγκρούσεις μεταξύ Αζερμπαϊτζάν και Αρμενίας έχουν δει ένα μεγάλο αριθμό κυβερνοεπιθέσεων. Ωστόσο, είναι σημαντικό να μην παραβλέπουμε ή απορρίπτουμε τις πρόσφατες εντάσεις μεταξύ Αζερμπαϊτζάν και Ιράν ως πιθανή αιτία αυτής της καμπάνιας κακόβουλου λογισμικού.
Αυτή η νέα επιθετική εκστρατεία κακόβουλου λογισμικού που στοχεύει σε στόχους του Αζερμπαϊτζάν μας υπενθυμίζει ότι οι επιτιθέμενοι διαρκώς αναπτύσσουν νέες τεχνικές για να παρακάμψουν τις λύσεις ασφαλείας. Οι οργανισμοί πρέπει να λάβουν τα απαραίτητα μέτρα για να προστατευτούν από αυτές τις απειλές.
Παρά το γεγονός ότι η κοινή λογική αποτελεί μια πολύτιμη αμυντική στρατηγική κατά των τέτοιων επιθέσεων, οι οργανισμοί θα πρέπει επίσης να εξετάσουν τη μετάβαση των υποδομών τους από τα Windows στο Linux, ως πρόσθετο μέτρο ασφαλείας.
Πηγή πληροφοριών: hackread.com
