Deși ieri am sărbătorit Ziua Internațională a Siguranței pe Internet, astăzi tragem un semnal de alarmă și îți arătăm cum și cele mai mari organizații pot fi victimele unui atac cibernetic.
Jocurile Olimpice de iarnă tocmai ce luptă cu un atac ce se extinde destul de puternic.
Atacul, cu mai multe implanturi în etapa a doua, oferă atacatorilor capabilități spyware de vârf.
Campania de spionaj împotriva obiectivelor Jocurilor Olimpice de iarnă și-a lărgit rețeaua.
Analiza avansată a amenințărilor, realizată de o companie anti-virus, a lansat recent un raport care descrie un atac fără fileri care vizează organizațiile implicate în Jocurile Olimpice de la Pyeongchang. Hackerul a folosit un e-mail cu e-mail-phishing având un document malitios atașat, care a fost trimis la 333 de organizații ale victimelor. Odată ce a fost executat, documentul a deschis calea pentru un implant de bază PowerShell care a stabilit un canal către serverul atacatorului pentru a aduna date la nivel de sistem și pentru a ascunde tehnicile de steganografie a imaginilor folosite.
„Ceea ce nu a fost determinat la acel moment a fost ceea ce sa întâmplat după ce atacatorul a obținut acces la sistemul victimei”, au spus cercetătorii companiei de anti-virus.
Totodată, s-a descoperit că implanturile suplimentare sunt folosite ca o sarcină utilă în etapa a doua în atacurile legate de Jocurile Olimpice, utilizate pentru a obține persistență pentru continuarea exfiltrațiilor de date și pentru accesul vizat.
„Implanturile care fac obiectul acestei cercetări stabilesc o prezență permanentă asupra sistemului victimei odată ce implantul PowerShell este executat”, au spus anchetatorii. Implanturile sunt livrate ca o a doua etapă, odată ce atacatorul obține un punct de pornire inițial folosind malware-ul fără fișiere. Unele dintre implanturi își vor menține persistența numai dacă cuvântul „Hangul”, care este specific Coreei de Sud, rulează.
Implantul în limba coreeană Gold Dragon a fost văzut pentru prima oară în ajunul Crăciunului.
Malware-ul Gold Dragon pare să fi extins capacitățile de a profila sistemul unei ținte și de a trimite rezultatele către un server de control. Aceasta acționează ca un instrument de recunoaștere și descărcător pentru încărcăturile ulterioare ale infecției malware și a lanțului de încărcături. În afară de descărcarea și executarea binarelor de pe serverul de control, Gold Dragon generează o cheie pentru a cripta datele pe care implantul le obține de la sistem.
Prince Brave, un alt malware, colectează log-uri detaliate despre configurația victimei, conținutul hard disk-ului, registrul, sarcinile programate, procesele care rulează și multe altele. Ghost419 este, de asemenea, un sistem malware de recunoaștere a sistemului și cod de acțiuni cu Gold Dragon.
Furtul de taste este funcția principală a programului RunningRat. Cu toate acestea, el conține cod pentru funcționalități mai extinse, inclusiv copierea clipboard-ului, ștergerea fișierelor, comprimarea fișierelor, ștergerea jurnalelor de evenimente, închiderea mașinii și multe altele. Nu este clar cum ar putea fi executat codul suplimentar.
Cu descoperirea acestor implanturi, acum avem o mai bună înțelegere a scopului acestei operații. Gold Dragon, Prince Brave, Ghost419 și RunningRat demonstrează o campanie mult mai largă decât cea cunoscută anterior. Exfiltrarea persistentă a datelor de la aceste implanturi ar putea oferi atacatorului un potențial avantaj în timpul Jocurilor Olimpice.
Anchetatorii au declarat că un hacker nord-coreean este probabil în spatele tuturor atacurilor.
Solutii IT pentru succesul afacerii tale.
Cere oferta!
