Razvoj zlonamerne programske opreme
Podjetje za kibernetsko varnost ESET je odkrilo, da znana in nedosegljiva hekerska skupina tiho uvaja zlonamerno programsko opremo, ki ima določene cilje. Zlonamerna programska oprema izkorišča zakulisje, ki je v preteklosti uspešno minilo pod radarjem. Poleg tega programska oprema izvede nekaj zanimivih testov, da bi zagotovila, da cilja na aktivno uporabljen računalnik. Če zlonamerna programska oprema ne zazna dejavnosti ali ni zadovoljna, se preprosto izklopi in izgine, da ohrani optimalno skrivnost in se izogne morebitnemu zaznavanju. Nova zlonamerna programska oprema išče pomembne osebnosti znotraj državne uprave. Preprosto povedano, zlonamerna programska oprema preganja diplomate in vladne službe po vsem svetu
The Ke3chang Zdi se, da se je napredna skupina vztrajnih groženj ponovno pojavila z novo osredotočeno kampanjo vdiranja. Skupina uspešno izvaja in upravlja s kampanjami za kibernetsko vohunjenje vsaj od leta 2010. Dejavnosti in podvigi skupine so dokaj učinkoviti. V kombinaciji s predvidenimi cilji se zdi, da skupino sponzorira država. Najnovejša vrsta zlonamerne programske opreme, ki jo je uvedel Ke3chang skupina je precej prefinjena. Prej postavljeni trojanski programi za oddaljeni dostop in druga zlonamerna programska oprema so bili dobro zasnovani. Vendar nova zlonamerna programska oprema presega slepo ali množično okužbo ciljnih strojev. Namesto tega je njegovo vedenje povsem logično. Zlonamerna programska oprema skuša potrditi in preveriti identiteto cilja in naprave.
Raziskovalci kibernetske varnosti pri ESET prepoznajo nove napade Ke3chang:
Skupina naprednih vztrajnih groženj Ke3chang, ki deluje vsaj od leta 2010, je označena tudi kot APT 15. Priljubljeno slovaško protivirusno podjetje, požarni zid in drugo podjetje za kibernetsko varnost ESET je odkrilo potrjene sledi in dokaze o dejavnostih skupine. Raziskovalci ESET trdijo, da skupina Ke3chang uporablja preizkušene in zaupanja vredne tehnike. Vendar je bila zlonamerna programska oprema znatno posodobljena. Poleg tega skupina tokrat poskuša izkoristiti novo zakulisje. Prej neodkrito in neprijavljeno zakulisje je poskusno poimenovano Okrum.
Raziskovalci ESET so nadalje navedli, da njihova notranja analiza kaže, da skupina preganja diplomatske organe in druge vladne institucije. Mimogrede, skupina Ke3chang je bila izjemno aktivna pri izvajanju prefinjenih, ciljno usmerjenih in vztrajnih kampanj za kiber-vohunjenje. Skupina je tradicionalno šla za vladnimi uradniki in pomembnimi osebnostmi, ki so sodelovale z vlado. Njihove dejavnosti so opazovali v državah po Evropi ter Srednji in Južni Ameriki.
Nova zlonamerna programska oprema Okrum, ki jo skupina Ke3chang uporablja za ciljanje diplomatov https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO
- Store4app (@ Store4app1) 18. julij 2019
Interes in poudarek ESET ostajata še naprej na skupini Ke3chang, ker je bila skupina precej aktivna v matični državi podjetja, na Slovaškem. Druge priljubljene tarče skupine pa so Belgija, Hrvaška in Češka v Evropi. Znano je, da je skupina ciljala na Brazilijo, Čile in Gvatemalo v Južni Ameriki. Dejavnosti skupine Ke3chang kažejo, da bi lahko šlo za državno financirano hekersko skupino z zmogljivo strojno in drugo programsko opremo, ki ni na voljo običajnim ali posameznim hekerjem. Zuzana Hromcova, raziskovalka pri ESET, je poudarila, da so tudi zadnji napadi lahko del dolgoročne trajne kampanje za zbiranje obveščevalnih podatkov. 'Glavni cilj napadalca je najverjetneje kibernetsko vohunjenje, zato so izbrali te cilje.'
Kako delujeta Ketrian Malware in Okrum Backdoor?
Zlonamerna programska oprema Ketrican in zakulisnica Okrum sta precej izpopolnjena. Raziskovalci varnosti še vedno preiskujejo, kako je bila nameščena ali spuščena zakulisna vrata na ciljno usmerjene stroje. Čeprav distribucija okroglega okruma Okrum še vedno ostaja skrivnost, je njegovo delovanje še bolj fascinantno. Okrum Backdoor izvede nekaj preizkusov programske opreme, da potrdi, da se ne izvaja v peskovniku, ki je v bistvu varen virtualni prostor, ki ga raziskovalci varnosti uporabljajo za opazovanje vedenja zlonamerne programske opreme. Če nakladalnik ne doseže zanesljivih rezultatov, se preprosto odpove, da se izogne zaznavanju in nadaljnji analizi.
Zelo zanimiva je tudi metoda Okrumovega zakulisja, ki potrjuje, da deluje v računalniku, ki deluje v resničnem svetu. Nakladač ali zakulisje aktivira pot, da prejme dejanski tovor, potem ko je vsaj trikrat kliknjen levi gumb miške. Raziskovalci verjamejo, da se ta potrditveni test izvaja predvsem za zagotovitev, da zakulisje deluje na resničnih, delujočih strojih in ne na virtualnih strojih ali peskovniku.
Ko je nalagalnik zadovoljen, si Okrum backdoor najprej podeli polne skrbniške pravice in zbira informacije o okuženem računalniku. Tabelira informacije, kot so ime računalnika, uporabniško ime, naslov IP gostitelja in kateri operacijski sistem je nameščen. Nato zahteva dodatna orodja. Tudi nova zlonamerna programska oprema Ketrican je precej izpopolnjena in vsebuje več funkcionalnosti. Ima celo vgrajen downloader kot tudi uploader. Naložilni mehanizem se uporablja za prikrit izvoz datotek. Prenosno orodje znotraj zlonamerne programske opreme lahko zahteva posodobitve in celo izvaja zapletene ukaze lupine, da prodre globoko v gostiteljski stroj.
Skupina senčnih zlonamernih programov stare šole, za katero se domneva, da deluje zunaj Kitajske, je usmerila diplomate v tisto, za kar raziskovalci infosec pravijo, da je bila predhodno nedokumentirana zakulisja. Skupina Ke3chang, ki deluje že vrsto let, že dolgo deluje ... https://t.co/n1TBoQ1pQX
- Register: Povzetek (@_TheRegister) 18. julij 2019
Raziskovalci ESET-a so že prej opazili, da bi lahko okrogla vrata Okrum uporabila celo dodatna orodja, kot je Mimikatz. To orodje je v bistvu skriven keylogger. Lahko opazuje in snema pritiske tipk ter poskuša ukrasti poverilnice za prijavo na druge platforme ali spletna mesta.
Mimogrede, raziskovalci so opazili več podobnosti v ukazih, ki jih zakrilna vrata Okrum in zlonamerna programska oprema Ketrican uporabljajo za zaobidje varnosti, dodelitev povišanih privilegijev in izvajanje drugih nedovoljenih dejavnosti. Nepogrešljiva podobnost med njima je raziskovalce prepričala, da sta tesno povezana. Če to ni dovolj močna povezava, sta bili obe programski opremi namenjeni istim žrtvam, je poudarila Hromcova: 'Pike smo začeli povezovati, ko smo ugotovili, da je bil Okrum backdoor uporabljen za spuščanje zaledja Ketrican, sestavljenega leta 2017. Poleg tega , smo ugotovili, da so nekatere diplomatske enote, na katere je vplivala zlonamerna programska oprema Okrum in zapornice Ketrian iz leta 2015, prizadele tudi zakritja iz leta 2017 Ketrian. '
Skupina Ke3chang APT je na diplomatske cilje spustila zakulisno bombo Okrum https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR
- 420 Cyber, Inc. (@ 420Cyber) 18. julij 2019
Dva povezana zlonamerna programska oprema, ki sta leta narazen, in vztrajne dejavnosti napredne skupine za trajno grožnjo Ke3chang kažejo, da je skupina ostala zvesta kibernetskemu vohunjenju. ESET je prepričan, da skupina izboljšuje svojo taktiko, narava napadov pa narašča v prefinjenosti in učinkovitosti. Skupina za kibernetsko varnost že dolgo zapisuje podvige te skupine in jo tudi že vodenje podrobnega poročila o analizi .
Pred kratkim smo poročali o tem, kako je hekerska skupina opustila svoje druge nezakonite spletne dejavnosti in začela osredotočati na kiber vohunjenje . Povsem verjetno je, da bi lahko vdiralne skupine pri tej dejavnosti našle boljše možnosti in koristi. Z naraščajočimi napadi, ki jih financira država, bi lahko prevarante vlade skrivaj podpirale skupine in jim ponujale pomilostitev v zameno za dragocene državne skrivnosti.
![[FIX] Beat Sabre Mods ne deluje](https://jf-balio.pt/img/how-tos/69/beat-saber-mods-not-working.png)
