ГлавнаябезопасностьХакеры используют бэкдор с 2017 года для сокрытия вредоносных программ

Хакеры используют бэкдор с 2017 года для сокрытия вредоносных программ

Команда кибершпионажа, действующая как минимум с 2012 года, использовала законный инструмент для защиты бэкдора от попыток анализа во избежание обнаружения. В своей попытке хакеры также использовали поддельный заголовок.

Бэкдор упоминается под именами Spark и EnigmaSpark и был разработан в ходе недавней фишинг-кампании, которая, по-видимому, является работой малобюджетной группы MoleRAT в секторе Газа. Он отвечает за функцию SneakyPastes, подробно описанную Kaspersky, которая основана на вредоносных программах, размещенных на бесплатных сервисах обмена, таких как GitHub и Pastebin.

Существуют убедительные доказательства того, что команда использовала этот бэкдор с марта 2017 года, развернув десятки вариантов, которые связывались по крайней мере с 15 командными и контрольными доменами.

Многочисленные исследователи в области кибербезопасности отслеживали эту кампанию угроз и анализировали вредоносные программы, тактику и инфраструктуру, используемые в атаках.

Профилактическая тактика

Злоумышленник пытался скрыть взлом с помощью программного обеспечения Enigma Protector - законного инструмента для «защиты исполняемых файлов от незаконного копирования, взлом, модификация и анализ ».

Исходя из заявленных целей и предмета приманочных документов, это выглядит как политическая атака, направленная на арабских ораторов, которые заинтересованы в возможном принятии палестинского мирного плана.

Цепочка заражения, которая привела к установке бэкдора EnigmaSpark, началась с доставки вредоносного документа Microsoft Word. Файл написан на арабском языке и призывает получателя разрешить редактирование для его просмотра. содержание.

Исследователи обнаружили, что документ, полученный из Google Диска, ссылается на вредоносный Word, встроенный с макросом для доставки окончательной полезной нагрузки runawy.exe.

Чтобы защитить эту функцию, хакеры добавили несколько возможности защитытакие как макрос защиты паролем и приложение системы кодирования base64 в бэкдоре, которое также было сохранено в Google Drive.

Кроме того, программа бинарного вредоносного ПО была «упакована» Enigma Protector, что добавляет некоторую устойчивость к попыткам взлома и взлома.

Еще одна мера предосторожности со стороны хакеров - использование фальшивого заголовка в HTTP-запросе POST, который предоставляет информацию о жертве на сервер управления и контроля (C2), которым был nysura. [Com. Однако в заголовке в качестве пункта назначения указано «cnet] [com».

Общий знаменатель

Расследование X-Force (IRIS) показало, что злоумышленник использовал эту технику с другими двоичными файлами. После "распаковки" runawy.exe они заметили, что файл появившееся было то же самое, что и blaster.exe, двоичный файл, поставляемый исполняемым файлом от Themida, другого законного инструмента, который добавляет защиту для проверки или изменения отредактированного приложения.

Было обнаружено несколько файлов, поскольку они имеют общую уникальную строку «S4.4P» и подписывающий криптографический сертификат «tg1678A4»: Wordeditor.exe, Blaster.exe (распакованная версия runawy.exe и soundcloud.exe), HelpPane.exe и taskmanager.exe.

В случае Blaster с поддельным заголовком хоста был использован тот же трюк, что и в случае «runawy», но фактический целевой сервер был другим («webtutorialz [.] Com»).

Предыдущее исследование

Бинарный файл runawy.exe, его сервер C2 и уникальная строка были ранее задокументированы исследователями из других компаний по безопасности в киберпространство.

12 февраля команда Cybereason Nocturnus выпустила технический анализ бэкдора Backdoor, в котором описываются возможности вредоносного ПО:

  • Соберите информацию о жертве хозяина
  • Зашифруйте собранные данные и отправьте их злоумышленникам по протоколу HTTP.
  • Скачать другие полезные нагрузки
  • Ввод ключей Запись звука с помощью встроенного микрофона системы
  • Выполнять команды на зараженной машине

В начале месяца Palo Alto Networks подробно описала ту же полезную нагрузку в окружении Enigma, доставленную с помощью Word документ 31 октября и 2 ноября 2019 года.

Бэкдор был задокументирован исследователями из кибербезопасности Qi An Xin в Пекине, опубликованной 14 февраля 2019 года на английском языке.

Исследователи из всех этих компаний приписывают бэкдор Spark команде MoleRAT, известной своим использованием вредоносного ПО, доступного на хакерском форуме. Однако они также разрабатывают собственные инструменты, такие как Spark.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ