up_icon
Internet Misc

Πώς απειλητικοί φορείς πραγματοποιούν σύνθετες επιθέσεις με το χαμηλότερο δυνατό κόστος

04 Οκτωβρίου 2017 Yannis Elpidis

Πώς απειλητικοί φορείς πραγματοποιούν σύνθετες επιθέσεις με το χαμηλότερο δυνατό κόστος

Οι ερευνητές της Kaspersky Lab παρατηρούν μια νέα και μάλλον σημαντική τάση στο πώς λειτουργούν οι περίπλοκοι απειλητικοί φορείς. Είναι όλο και πιο κοινό για τους απειλητικούς φορείς να μην χρησιμοποιούν εξελιγμένες και δαπανηρές τεχνικές επίθεσης, όπως zero-day ευπάθειες, αλλά χρησιμοποιούν εκστρατείες κοινωνικής μηχανικής εξαιρετικά στοχευμένες σε συνδυασμό με γνωστές αποτελεσματικές κακόβουλες τεχνικές. Ως αποτέλεσμα, είναι σε θέση να εκμεταλλεύονται κακόβουλες εκστρατείες που είναι εξαιρετικά δύσκολο να εντοπιστούν με τις συνήθεις λύσεις διασφάλισης εταιρικής ποιότητας.

Αυτή η μετατόπιση του τρόπου λειτουργίας των απειλητικών φορέων αποδεικνύει ότι, γενικά, η υποδομή Πληροφορικής των σύγχρονων οργανισμών περιέχει αρκετές αδυναμίες για να επιτρέψει στους επιτιθέμενους με σχετικά φθηνά εργαλεία επίθεσης να επιτύχουν τους εγκληματικούς τους στόχους. Η Microcin, μια κακόβουλη εκστρατεία που έχει διερευνηθεί πρόσφατα από ειδικούς της Kaspersky Lab, αποτελεί παράδειγμα μιας τόσο χαμηλού κόστους, αλλά επικίνδυνης επίθεσης.

Όλα ξεκίνησαν όταν η πλατφόρμα Kaspersky Anti Targeted Attack Platform (KATA) ανακάλυψε ύποπτο RTF αρχείο. Το αρχείο περιελάμβανε ένα exploit (κακόβουλο λογισμικό που εκμεταλλεύεται τις αδυναμίες ασφάλειας σε ευρέως χρησιμοποιούμενο λογισμικό για την εγκατάσταση πρόσθετων κακόβουλων στοιχείων) σε μια γνωστή και ήδη επιδιορθωμένη ευπάθεια στο Microsoft Office. Δεν είναι ασυνήθιστο οι τακτικοί ψηφιακοί εγκληματίες να χρησιμοποιούν εκμεταλλεύσεις γνωστών τρωτών σημείων για να «μολύνουν» τα θύματα τους με κοινό, μαζικά κατανεμημένο κακόβουλο λογισμικό, αλλά όπως έδειξε αναλυτικότερη έρευνα, το συγκεκριμένο RTF αρχείο δεν ανήκε σε άλλο μεγάλο κύμα «μόλυνσης», αλλά σε πολύ πιο εξελιγμένη και εξαιρετικά στοχευμένη εκστρατεία.

Το ύποπτο spear-phishing έγγραφο διανεμήθηκε μέσω ιστότοπων για μια πολύ συγκεκριμένη ομάδα ανθρώπων: φόρουμ για τη συζήτηση θεμάτων που σχετίζονται με τη λήψη επιδοτούμενων κατοικιών - μια απαλλαγή διαθέσιμη κυρίως για υπαλλήλους κυβερνητικών και στρατιωτικών οργανισμών στη Ρωσία και σε ορισμένες γειτονικές χώρες.

Όταν ενεργοποιηθεί το exploit, εγκαθίσταται στον υπολογιστή-στόχο κακόβουλο πρόγραμμα με αρθρωτή δομή. Η εγκατάσταση της μονάδας πραγματοποιείται μέσω κακόβουλης έγχυσης στο iexplorer.exe και η αυτόματη εκτέλεση αυτής της λειτουργικής μονάδας ολοκληρώνεται μέσω dll-hijacking. Και οι δύο είναι γνωστές και ευρέως χρησιμοποιούμενες κακόβουλες τεχνικές.

Τέλος, όταν εγκατασταθεί η κύρια μονάδα, «κατεβάζονται» ορισμένες πρόσθετες μονάδες από τον command and control server. Τουλάχιστον μία από αυτές χρησιμοποιεί στεγανογραφία - την πρακτική της απόκρυψης πληροφοριών μέσα σε φαινομενικά μη επιβλαβείς φακέλους, όπως εικόνες, ακόμα μια γνωστή κακόβουλη τεχνική για μυστική μεταφορά δεδομένων.

Μόλις αναπτυχθεί ολόκληρη η κακόβουλη πλατφόρμα, το κακόβουλο λογισμικό αναζητά αρχεία με επεκτάσεις όπως .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt και .rtf., τα οποία στη συνέχεια ομαδοποιούνται σε ένα αρχείο που προστατεύεται με κωδικό πρόσβασης και μεταφέρεται στους χειριστές της επίθεσης. Εκτός από τη χρήση γνωστών τεχνικών «μόλυνσης» και πλευρικής κίνησης, κατά τη διεξαγωγή των επιθέσεων οι δράστες χρησιμοποιούν ενεργά γνωστά backdoors που έχουν παρατηρηθεί σε προηγούμενες επιθέσεις και επίσης χρησιμοποιούν νόμιμα εργαλεία που δημιουργήθηκαν για δοκιμές διείσδυσης και γενικά δεν ανιχνεύθηκαν ως κακόβουλα από λύσεις ασφάλειας.

Όπως δήλωσε ο Alexey Shulmin, Lead malware analyst της Kaspersky Lab.

"Αν αναλυθεί σε μέρη, αυτή η επίθεση δεν είναι τίποτα σοβαρό. Σχεδόν κάθε κομμάτι της έχει τεκμηριωθεί καλά από τον κλάδο της ασφάλειας, και είναι σχετικά εύκολο να εντοπιστεί. Ωστόσο, συνδυάζονται με τρόπο που καθιστά δύσκολη την επίθεση. Το πιο σημαντικό, αυτή η κακόβουλη εκστρατεία δεν είναι μοναδική. Φαίνεται ότι ορισμένοι απειλητικοί φορείς ψηφιακής κατασκοπείας μετατοπίζουν την εστίασή τους από την ανάπτυξη κακόβουλων εργαλείων που είναι δύσκολο να ανιχνευθούν, στον σχεδιασμό και την παροχή εξελιγμένων λειτουργιών, οι οποίες μπορεί να μην περιλαμβάνουν περίπλοκο κακόβουλο λογισμικό, αλλά να είναι επικίνδυνες"

Προκειμένου να προστατεύσουν τα πληροφοριακά τους συστήματα από επιθέσεις όπως η Microcin, οι ειδικοί της Kaspersky Lab συμβουλεύουν τους οργανισμούς να χρησιμοποιούν εργαλεία ασφάλειας που επιτρέπουν τον εντοπισμό κακόβουλων λειτουργιών και όχι κακόβουλου λογισμικού.

Τέτοιου είδους σύνθετες λύσεις, όπως η πλατφόρμα Kaspersky Anti-Targeted Attack Platform, περιλαμβάνουν όχι μόνο τεχνολογίες προστασίας τερματικών σημείων αλλά και τεχνολογίες που επιτρέπουν την παρακολούθηση και τη συσχέτιση συμβάντων σε διάφορα μέρη του δικτύου του οργανισμού, προσδιορίζοντας έτσι τα κακόβουλα μοτίβα που υπάρχουν στις εξελιγμένες στοχευμένες επιθέσεις.

Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία τη Microcin και παρόμοιες εκστρατείες.

Τις λεπτομέρειες της εκστρατείας Microcin μπορείτε να βρείτε στον ειδικό σύνδεσμο Securelist.com, όπου περιλαμβάνονται επίσης περαιτέρω τεχνικές πληροφορίες σχετικά με την επίθεση.

 

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Η παραβίαση του WhatsApp εκθέτει 360 εκατ. τηλεφωνικούς αριθμούς σε 108 χώρες

01 Δεκεμβρίου 2022 Techgear Team

Σε συνέχεια των αναφορών για μια μεγάλη παραβίαση του WhatsApp, η Check Point Research ανέλυσε τα αρχεία που πωλούνται στο Darknet και σχετίζονται με το WhatsApp και αποκάλυψε ότι η διαρροή περιέχει 360 ...

Black Friday: Διπλασιάστηκαν οι κλοπές τραπεζικών διαπιστευτηρίων το 2022

25 Νοεμβρίου 2022 Techgear Team

Οι ερευνητές της Kaspersky ανέφεραν ότι ο αριθμός των επιθέσεων μέσω Banking Trojans που κλέβουν δεδομένα πληρωμών διπλασιάστηκε το 2022 σε σύγκριση με το 2021, αγγίζοντας τις σχεδόν 20 εκατομμύρια επιθέσεις. ...

Μέτρα Προφύλαξης για προστασία από κακόβουλες κλήσεις και μηνύματα (phishing, smishing και spoofing)

23 Νοεμβρίου 2022 Techgear Team

H EEKT (Ένωση Εταιρειών Κινητής Τηλεφωνίας), στο πλαίσιο της εκστρατείας ενημέρωσης και ευαισθητοποίησης του κοινού για θέματα κυβερνοασφάλειας, θα ήθελε να ενημερώσει το κοινό σχετικά με κακόβουλες πρακτικές ...

Διαδικτυακός εκφοβισμός: Πώς μπορούν γονείς και παιδιά να προστατευτούν

22 Νοεμβρίου 2022 Techgear Team

Ο Νοέμβριος είναι ένας μήνας κατά τον οποίο ο διαδικτυακός εκφοβισμός συζητείται ευρέως σε όλον τον κόσμο με εκδηλώσεις όπως η Παγκόσμια Ημέρα κατά της Βίας και του Εκφοβισμού, η εβδομάδα αφιερωμένη στον αγώνα ...

Google Maps: Βρείτε σημεία με πρόσβαση για αναπηρικό αμαξίδιο

18 Νοεμβρίου 2022 Techgear Team

Φανταστείτε να προγραμματίζετε μια έξοδο σε κάποιο νέο εστιατόριο, μπαρ ή άλλη επιχείρηση και, φτάνοντας εκεί, να μην μπορείτε να μπείτε μέσα, να καθίσετε με την οικογένεια σας ή να πάτε στη τουαλέτα. Είναι ...

7 απλές συμβουλές για ασφαλείς αγορές ενόψει Black Friday

17 Νοεμβρίου 2022 Techgear Team

Η Black Friday πλησιάζει και πολλά καταστήματα διαφημίζουν ήδη δελεαστικές εκπτώσεις και άλλες προσφορές. Αλλά οι έμποροι δεν είναι οι μόνοι που αναζητούν αγοραστές. Οι απατεώνες προσπαθούν να εκμεταλλευτούν ...

Απάτες με δόλωμα το Παγκόσμιο Κύπελλο Ποδοσφαίρου: Προσοχή σε ψεύτικες κληρώσεις, πλαστά εισιτήρια και άλλα κόλπα

17 Νοεμβρίου 2022 Techgear Team

Το Παγκόσμιο Κύπελλο Ποδοσφαίρου 2022 στο Κατάρ είναι έτοιμο να ξεκινήσει! Από τις 20 Νοεμβρίου έως τις 18 Δεκεμβρίου, ένα από τα σημαντικότερα αθλητικά γεγονότα της φετινής χρονιάς θα προσελκύσει εκατοντάδες ...

Υπηρεσίες Courier: Τι προσέχω όταν παραλαμβάνω αγορές μέσω Internet

16 Νοεμβρίου 2022 Techgear Team

Λόγω της αυξημένης ζήτησης για ταχυδρομικές υπηρεσίες που παρατηρείται συνήθως κατά τη διάρκεια της εορταστικής περιόδου και των εκπτωτικών ημέρων (Black Friday, Cyber Monday), η ΕΕΤΤ απευθύνει συστάσεις σε ...

Το επόμενο WannaCry και drone hacking: Οι απειλές τύπου APT το 2023

15 Νοεμβρίου 2022 Techgear Team

Οι ερευνητές της Kaspersky μοιράζονται τις προβλέψεις τους για τις απειλές τύπου APT (Advanced Persistent Threats), προσδιορίζοντας τις αλλαγές στο τοπίο των απειλών που θα προκύψουν το 2023. Επιθέσεις σε ...

Google: Πρόστιμο $391.5 εκατ. για παρακολούθηση της τοποθεσίας των χρηστών

15 Νοεμβρίου 2022 Christos Elpidis

Ήταν το 2018 όταν το πρακτορείο Associated Press αποκάλυπτε με άρθρο του πως το Location History δεν έδινε στην πραγματικότητα τον απόλυτο έλεγχο στον χρήστη σχετικά με τις πληροφορίες της τοποθεσίας του, με ...

Loader
techgear_icon