Φτηνές, αλλά επικίνδυνες: Πώς απειλητικοί φορείς πραγματοποιούν σύνθετες επιθέσεις με το χαμηλότερο δυνατό κόστος
Οι ερευνητές της Kaspersky Lab παρατηρούν μια νέα και μάλλον σημαντική τάση στο πώς λειτουργούν οι περίπλοκοι απειλητικοί φορείς. Είναι όλο και πιο κοινό για τους απειλητικούς φορείς να μην χρησιμοποιούν εξελιγμένες και δαπανηρές τεχνικές επίθεσης, όπως zero-day ευπάθειες, αλλά χρησιμοποιούν εκστρατείες κοινωνικής μηχανικής εξαιρετικά στοχευμένες σε συνδυασμό με γνωστές αποτελεσματικές κακόβουλες τεχνικές. Ως αποτέλεσμα, είναι σε θέση να εκμεταλλεύονται
Αυτή η μετατόπιση του τρόπου λειτουργίας των απειλητικών φορέων αποδεικνύει ότι, γενικά, η υποδομή Πληροφορικής των σύγχρονων οργανισμών περιέχει αρκετές αδυναμίες για να επιτρέψει στους επιτιθέμενους με σχετικά φθηνά εργαλεία επίθεσης να επιτύχουν τους εγκληματικούς τους στόχους. Η Microcin, μια κακόβουλη εκστρατεία που έχει διερευνηθεί πρόσφατα από ειδικούς της Kaspersky Lab, αποτελεί παράδειγμα μιας τόσο χαμηλού κόστους, αλλά επικίνδυνης επίθεσης.
Όλα ξεκίνησαν όταν η πλατφόρμα Kaspersky Anti Targeted Attack Platform (KATA) ανακάλυψε ύποπτο RTF αρχείο. Το αρχείο περιελάμβανε ένα exploit (κακόβουλο λογισμικό που εκμεταλλεύεται τις αδυναμίες ασφάλειας σε ευρέως χρησιμοποιούμενο λογισμικό για την εγκατάσταση πρόσθετων κακόβουλων στοιχείων) σε μια γνωστή και ήδη επιδιορθωμένη ευπάθεια στο Microsoft Office. Δεν είναι ασυνήθιστο οι τακτικοί ψηφιακοί εγκληματίες να χρησιμοποιούν εκμεταλλεύσεις γνωστών τρωτών σημείων για να «μολύνουν» τα θύματα τους με κοινό, μαζικά κατανεμημένο κακόβουλο λογισμικό, αλλά όπως έδειξε αναλυτικότερη έρευνα, το συγκεκριμένο RTF αρχείο δεν ανήκε σε άλλο μεγάλο κύμα «μόλυνσης», αλλά σε πολύ πιο εξελιγμένη και εξαιρετικά στοχευμένη εκστρατεία.
Το ύποπτο spear-phishing έγγραφο διανεμήθηκε μέσω ιστότοπων για μια πολύ συγκεκριμένη ομάδα ανθρώπων: φόρουμ για τη συζήτηση θεμάτων που σχετίζονται με τη λήψη επιδοτούμενων κατοικιών – μια απαλλαγή διαθέσιμη κυρίως για υπαλλήλους κυβερνητικών και στρατιωτικών οργανισμών στη Ρωσία και σε ορισμένες γειτονικές χώρες.
Όταν ενεργοποιηθεί το exploit, εγκαθίσταται στον υπολογιστή-στόχο κακόβουλο πρόγραμμα με αρθρωτή δομή. Η εγκατάσταση της μονάδας πραγματοποιείται μέσω κακόβουλης έγχυσης στο iexplorer.exe και η αυτόματη εκτέλεση αυτής της λειτουργικής μονάδας ολοκληρώνεται μέσω dll-hijacking. Και οι δύο είναι γνωστές και ευρέως χρησιμοποιούμενες κακόβουλες τεχνικές.
Τέλος, όταν εγκατασταθεί η κύρια μονάδα, «κατεβάζονται» ορισμένες πρόσθετες μονάδες από τον command and control server. Τουλάχιστον μία από αυτές χρησιμοποιεί στεγανογραφία – την πρακτική της απόκρυψης πληροφοριών μέσα σε φαινομενικά μη επιβλαβείς φακέλους, όπως εικόνες, ακόμα μια γνωστή κακόβουλη τεχνική για μυστική μεταφορά δεδομένων.
Μόλις αναπτυχθεί ολόκληρη η κακόβουλη πλατφόρμα, το κακόβουλο λογισμικό αναζητά αρχεία με επεκτάσεις όπως .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt και .rtf., τα οποία στη συνέχεια ομαδοποιούνται σε ένα αρχείο που προστατεύεται με κωδικό πρόσβασης και μεταφέρεται στους χειριστές της επίθεσης. Εκτός από τη χρήση γνωστών τεχνικών «μόλυνσης» και πλευρικής κίνησης, κατά τη διεξαγωγή των επιθέσεων οι δράστες χρησιμοποιούν ενεργά γνωστά backdoors που έχουν παρατηρηθεί σε προηγούμενες επιθέσεις και επίσης χρησιμοποιούν νόμιμα εργαλεία που δημιουργήθηκαν για δοκιμές διείσδυσης και γενικά δεν ανιχνεύθηκαν ως κακόβουλα από λύσεις ασφάλειας.
«Αν αναλυθεί σε μέρη, αυτή η επίθεση δεν είναι τίποτα σοβαρό. Σχεδόν κάθε κομμάτι της έχει τεκμηριωθεί καλά από τον κλάδο της ασφάλειας, και είναι σχετικά εύκολο να εντοπιστεί. Ωστόσο, συνδυάζονται με τρόπο που καθιστά δύσκολη την επίθεση. Το πιο σημαντικό, αυτή η κακόβουλη εκστρατεία δεν είναι μοναδική. Φαίνεται ότι ορισμένοι απειλητικοί φορείς ψηφιακής κατασκοπείας μετατοπίζουν την εστίασή τους από την ανάπτυξη κακόβουλων εργαλείων που είναι δύσκολο να ανιχνευθούν, στον σχεδιασμό και την παροχή εξελιγμένων λειτουργιών, οι οποίες μπορεί να μην περιλαμβάνουν περίπλοκο κακόβουλο λογισμικό, αλλά να είναι επικίνδυνες», δήλωσε ο Alexey Shulmin, Lead malware analyst της Kaspersky Lab.
Προκειμένου να προστατεύσουν τα πληροφοριακά τους συστήματα από επιθέσεις όπως η Microcin, οι ειδικοί της Kaspersky Lab συμβουλεύουν τους οργανισμούς να χρησιμοποιούν εργαλεία ασφάλειας που επιτρέπουν τον εντοπισμό κακόβουλων λειτουργιών και όχι κακόβουλου λογισμικού.
Τέτοιου είδους σύνθετες λύσεις, όπως η πλατφόρμα Kaspersky Anti-Targeted Attack Platform, περιλαμβάνουν όχι μόνο τεχνολογίες προστασίας τερματικών σημείων αλλά και τεχνολογίες που επιτρέπουν την παρακολούθηση και τη συσχέτιση συμβάντων σε διάφορα μέρη του δικτύου του οργανισμού, προσδιορίζοντας έτσι τα κακόβουλα μοτίβα που υπάρχουν στις εξελιγμένες στοχευμένες επιθέσεις.
Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία τη Microcin και παρόμοιες εκστρατείες.
Τις λεπτομέρειες της εκστρατείας Microcin μπορείτε να βρείτε στον ειδικό σύνδεσμο Securelist.com, όπου περιλαμβάνονται επίσης περαιτέρω τεχνικές πληροφορίες σχετικά με την επίθεση.
Συντάκτης: Δελτίο Τύπου
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Ο Super Mario στο Cascade Kingom
- Smart Deals στο "The Smartphone Festival by Huawei"
- Launch Trailer για το Inmates
- Φήμη: H Microsoft θα φέρει τον Edge browser σε iOS και Android
- Laptop Innovator M1589: Λάπτοπ που αξίζει τα λεφτά του μέχρι το τελευταίο λεπτό!
- Ελληνικό Top 10 video games για τον μήνα Αύγουστο
- To Pixel 2 XL διέρρευσε, λίγες ώρες πριν την παρουσίαση της Google
- Το Exclusive περιεχόμενο του Destiny 1 για το PS4 έγινε διαθέσιμο και για το Xbox One
- Extinction: Δαβίδ εναντίον Γολιάθ από τους δημιουργούς του Killer Instinct
- Φτηνές, αλλά επικίνδυνες: Πώς απειλητικοί φορείς πραγματοποιούν σύνθετες επιθέσεις με το χαμηλότερο δυνατό κόστος
- Δημοφιλέστερες Ειδήσεις Xblog
- Τελευταία Νέα Xblog
- Φτηνές, αλλά επικίνδυνες: Πώς απειλητικοί φορείς πραγματοποιούν σύνθετες επιθέσεις με το χαμηλότερο δυνατό κόστος
- Όλοι οι λογαριασμοί στο Yahoo είχαν παραβιαστεί το 2013
- Η Toshiba πούλησε το τμήμα μνήμης flash για $18 δις στη Bain Capital
- Nokia 3310 3G: Το θρυλικό κινητό τώρα μπαίνει και στο Facebook
- Η Microsoft αποσύρει το Groove Music, την απάντησή της στο Spotify
- Κυκλοφόρησε update που μεταφράζει το μενού του PlayStation 4 στα Ελληνικά
- Η GoPro Hero 6 Black είναι εδώ και τραβάει 4K βίντεο στα 60fps
- COSMOTE PLAY NOW UNLIMITED για απεριόριστο streaming βίντεο/μουσικής – όσα πρέπει να γνωρίζετε
- Η Ελληνική κυβέρνηση θέλει να θίξει το (Taxi) Beat – Πώς μπορείτε να βοηθήσετε
- «Το Τελευταίο Σημείωμα» του Παντελή Βούλγαρη, η νέα συμπαραγωγή της COSMOTE TV
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Launch Trailer για το Inmates
- Samsung HMD Odyssey: Αυτό είναι επίσημα το Mixed Reality headset της εταιρείας
- Extinction: Δαβίδ εναντίον Γολιάθ από τους δημιουργούς του Killer Instinct
- Extinction: Δαβίδ εναντίον Γολιάθ από τους δημιοργούς του Killer Instinct
- Laptop Innovator M1589: Λάπτοπ που αξίζει τα λεφτά του μέχρι το τελευταίο λεπτό!
- Φήμη: H Microsoft θα φέρει τον Edge browser σε iOS και Android
- Έρχεται το Horde Bash Update για το Fortnite
- Πώς απειλητικοί φορείς πραγματοποιούν σύνθετες επιθέσεις με το χαμηλότερο δυνατό κόστος
- Ελληνικό Top 10 video games για τον μήνα Αύγουστο
- Ο Super Mario στο Cascade Kingom
