ΑρχικήSecurityΤο RomCom backdoor στόχευσε συμμετέχουσες του Women Political Leaders (WPL) Summit

Το RomCom backdoor στόχευσε συμμετέχουσες του Women Political Leaders (WPL) Summit

Μια νέα παραλλαγή του RomCom backdoor χρησιμοποιήθηκε σε επιθέσεις εναντίον συμμετεχόντων στη Σύνοδο Κορυφής της Women Political Leaders (WPL) στις Βρυξέλλες, μια σύνοδο κορυφής που επικεντρώνεται στην ισότητα των φύλων και τις γυναίκες στην πολιτική.

Η κακόβουλη καμπάνια χρησιμοποίησε έναν ψεύτικο ιστότοπο που μιμούνταν το επίσημο WPL portal για να προσελκύσει άτομα που ήθελαν να παρευρεθούν ή απλώς ενδιαφέρονταν για τη σύνοδο κορυφής.

RomCom backdoor

Μια αναφορά της Trend Micro που αναλύει τη νέα παραλλαγή του RomCom backdoor προειδοποιεί ότι οι χειριστές της, οι οποίοι παρακολουθούνται από την εταιρεία ως “Void Rabisu“, έχουν φτιάξει ένα πιο εξελιγμένο backdoor με μια νέα τεχνική TLS-enforcement στις επικοινωνίες C2, για να κάνουν πιο δύσκολη την ανακάλυψη.

Επίσης, η τελευταία επίθεση δείχνει τη μετατόπιση της ομάδας από ευκαιριακές επιθέσεις ransomware (που αποδίδονταν προηγουμένως σε affiliate του Cuba ransomware) σε εκστρατείες κυβερνοκατασκοπείας, που περιλαμβάνουν την εκμετάλλευση zero-day ευπαθειών σε προϊόντα της Microsoft.

#secnews #barnardb #exoplanets 

Μικροσκοπικός εξωπλανήτης βρέθηκε πολύ κοντά στη Γη. Το πλησιέστερο μεμονωμένο αστέρι στο Ηλιακό μας Σύστημα κρύβει έναν σπάνιο μικροσκοπικό εξωπλανήτη που μοιάζει με τη Γη. Γύρω από έναν κόκκινο νάνο γνωστό ως αστέρι του Barnard, που βρίσκεται μόλις 5,96 έτη φωτός μακριά, οι αστρονόμοι βρήκαν στοιχεία για έναν μικροσκοπικό εξωπλανήτη. Και όχι οποιοσδήποτε εξωπλανήτης. Αυτός ο συναρπαστικός κόσμος, γνωστός ως Barnard b, είναι μικροσκοπικός, με μάζα μόλις 37 τοις εκατό σε σχέση με τη μάζα της Γης. Αυτό είναι όσο η μισή Αφροδίτη.

00:00 Εισαγωγή
00:29 Barnard b
01:07 Υποτιθέμενος Εξωπλανήτης
01:37 Έντονο ενδιαφέρον

Μάθετε περισσότερα: https://www.secnews.gr/623240/mikroskopikos-exoplanitis-moiazei-gi-vrethike-poli-konta/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #barnardb #exoplanets

Μικροσκοπικός εξωπλανήτης βρέθηκε πολύ κοντά στη Γη. Το πλησιέστερο μεμονωμένο αστέρι στο Ηλιακό μας Σύστημα κρύβει έναν σπάνιο μικροσκοπικό εξωπλανήτη που μοιάζει με τη Γη. Γύρω από έναν κόκκινο νάνο γνωστό ως αστέρι του Barnard, που βρίσκεται μόλις 5,96 έτη φωτός μακριά, οι αστρονόμοι βρήκαν στοιχεία για έναν μικροσκοπικό εξωπλανήτη. Και όχι οποιοσδήποτε εξωπλανήτης. Αυτός ο συναρπαστικός κόσμος, γνωστός ως Barnard b, είναι μικροσκοπικός, με μάζα μόλις 37 τοις εκατό σε σχέση με τη μάζα της Γης. Αυτό είναι όσο η μισή Αφροδίτη.

00:00 Εισαγωγή
00:29 Barnard b
01:07 Υποτιθέμενος Εξωπλανήτης
01:37 Έντονο ενδιαφέρον

Μάθετε περισσότερα: https://www.secnews.gr/623240/mikroskopikos-exoplanitis-moiazei-gi-vrethike-poli-konta/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LllPdG94Sk9rdUpN

Μικροσκοπικός εξωπλανήτης βρέθηκε πολύ κοντά στη Γη

SecNewsTV 4 hours ago

Δείτε επίσης: DarkGate malware: Διανομή μέσω παραβιασμένων Skype λογαριασμών

Στο στόχαστρο γυναίκες πολιτικοί

Τον Αύγουστο του 2023, η ομάδα Void Rabisu δημιούργησε έναν κακόβουλο ιστότοπο στη διεύθυνση “wplsummit[.]com“. Ο ιστότοπος μιμούνταν τον πραγματικό ιστότοπο της Women Political Leaders (WPL) που φιλοξενείται στο wplsummit.org.

Ο ψεύτικος ιστότοπος συνδέθηκε με έναν φάκελο του OneDrive μέσω ενός κουμπιού με το όνομα “Videos & photos“, που περιείχε φωτογραφίες από το event. Αυτό το υλικό είχε ληφθεί από τον αυθεντικό ιστότοπο. Ωστόσο, μαζί με τις φωτογραφίες, υπήρχε και ένα πρόγραμμα λήψης του κακόβουλου λογισμικού με το όνομα “Unpublished Pictures“.

Το κακόβουλο εκτελέσιμο αρχείο είναι ένα αρχείο self-extracting που περιέχει 56 φωτογραφίες που λειτουργούν ως δόλωμα. Ταυτόχρονα, ένα δεύτερο κρυπτογραφημένο αρχείο λαμβάνεται από έναν απομακρυσμένο κεντρικό υπολογιστή.

Αυτό το δεύτερο αρχείο είναι ένα DLL που αποκρυπτογραφείται και φορτώνεται στη μνήμη για να αποφευχθεί ο εντοπισμός. Αυτό, στη συνέχεια, ανακτά πρόσθετα στοιχεία που απαιτούνται για τη δημιουργία επικοινωνίας με τον διακομιστή του εισβολέα.

RomCom 4.0 backdoor

Η Trend Micro προσδιορίζει την πιο πρόσφατη παραλλαγή του RomCom ως την τέταρτη σημαντική έκδοση του backdoor. Πρόκειται για το ίδιο κακόβουλο λογισμικό που οι ερευνητές της Volexity ονόμασαν πρόσφατα “Peapod“.

Δείτε επίσης: ToddyCat: Χρησιμοποιεί “disposable” malware για επιθέσεις

Η νέα παραλλαγή έχει υποστεί σημαντικές αλλαγές, που την καθιστούν πιο “ελαφριά”, αλλά αρκετά επικίνδυνη.

Τώρα υποστηρίζει τις ακόλουθες δέκα εντολές, ενώ η προηγούμενη έκδοση υποστήριζε 42:

  • No action – Η συνάρτηση handling επιστρέφει μηδέν. Το κακόβουλο λογισμικό περιμένει την επόμενη εντολή.
  • Run command – Εκτελεί μια εντολή και στέλνει πίσω το output.
  • Upload file – Μεταφορτώνει ένα αρχείο στο παραβιασμένο μηχάνημα.
  • Download file – Κατεβάζει ένα αρχείο από το μολυσμένο μηχάνημα.
  • Run command – Εκτελεί μια δεδομένη εντολή.
  • Update interval – Τροποποιεί τη συχνότητα ελέγχου στο backdoor (προεπιλογή 60 δευτερόλεπτα) και ενημερώνει το μητρώο συστήματος.
  • Get system info – Ανακτά τη μνήμη RAM, τον επεξεργαστή, την τοπική ώρα και το όνομα χρήστη.
  • Update network component – Ενημερώνει δεδομένα για το network component από το Windows registry.
  • Uninstall – Εκκαθαρίζει τα σχετικά registry keys και διαγράφει τα σχετικά αρχεία.
  • Get service name από το μητρώο των Windows

Επίσης, αντί να χρησιμοποιεί τροποποιημένα MSI για την απευθείας απόθεση των components σε συσκευές, η νέα παραλλαγή αξιοποιεί ένα αρχείο EXE για να φέρει XOR-encrypted DLLs, φορτώνοντας όλα τα components του στη μνήμη.

Το RomCom 4.0 έχει επίσης ενσωματώσει νέες δυνατότητες που σχετίζονται με το Transport Layer Security (TLS), ένα πρωτόκολλο σχεδιασμένο να παρέχει ασφαλή επικοινωνία με τον διακομιστή C2.

Το κακόβουλο λογισμικό έχει κωδικοποιηθεί για να αναγκάσει τις λειτουργίες του WinHTTP να χρησιμοποιούν συγκεκριμένα την έκδοση TLS 1.2, αντί να επιτρέπεται στο λειτουργικό σύστημα να επιλέξει την προεπιλεγμένη έκδοση TLS.

Women Political Leaders (WPL) Summit
Το RomCom backdoor στόχευσε συμμετέχουσες του Women Political Leaders (WPL) Summit

Ο στόχος αυτού του μηχανισμού είναι πιθανό να καταστήσει την επικοινωνία C2 πιο ανθεκτική στην κατασκοπεία, να περιπλέξει την αυτοματοποιημένη ανακάλυψη και πιθανώς να επιτρέψει στους εισβολείς να φιλτράρουν ακατάλληλα θύματα.

Σε γενικές γραμμές, οι τακτικές που χρησιμοποιεί η ομάδα Void Rabisu και η ανάπτυξη του RomCom backdoor δεν είναι εντελώς ξεκάθαρα. Απ’ ό,τι φαίνεται η ανάπτυξη του backdoor είναι ακόμη σε εξέλιξη και οι χειριστές του επικεντρώνονται όλο και περισσότερο στην κατασκοπεία στον κυβερνοχώρο.

Δείτε επίσης: Shadow: Προειδοποιεί για παραβίαση δεδομένων πελατών

Κατανόηση του backdoor malware 

Τα backdoor είναι μια μορφή κακόβουλου λογισμικού που επιτρέπει σε έναν επιτιθέμενο να λάβει τον έλεγχο του συστήματος ενός χρήστη και να αποκτήσει απομακρυσμένη πρόσβαση. Τα backdoor εκμεταλλεύονται συχνά τις αδυναμίες στο λειτουργικό σύστημα ή τα εγκατεστημένα προγράμματα, δημιουργώντας μια “πόρτα” για τον εισβολέα να εισέλθει και να λάβει τον έλεγχο. 

Προηγμένες τεχνικές backdoor

Οι hackers εξελίσσουν συνεχώς τις τεχνικές των backdoors τους. Οι επιθέσεις μπορούν να εκμεταλλευτούν τις ευπάθειες των συστημάτων, να χρησιμοποιήσουν την κρυπτογράφηση για να κρύψουν την παρουσία τους, ή να ενσωματώσουν τις δικές τους ρουτίνες αυτόματης ανάλυσης για να παρατηρήσουν και να παρακολουθήσουν τις δραστηριότητες του χρήστη. 

Προστασία

Η άμυνα ενάντια στη μόλυνση από backdoor περιλαμβάνει τη δράση και την πρόληψη. Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από ιούς, διατηρήστε τα συστήματα και τα λογισμικά ενημερωμένα για να διορθώσετε πιθανές ευπάθειες και εκπαιδεύστε τους χρήστες στην αναγνώριση των σημαδιών των επιθέσεων.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS