up_icon
Internet Security

Η Ομάδα LuckyMouse επέστρεψε και υπογράφει το κακόβουλο λογισμικό της με νόμιμο πιστοποιητικό

17 Σεπτεμβρίου 2018 Yannis Elpidis

Η Ομάδα LuckyMouse επέστρεψε και υπογράφει το κακόβουλο λογισμικό της με νόμιμο πιστοποιητικό

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab ανακάλυψε διάφορες «μολύνσεις» από ένα άγνωστο Trojan που είχε εμφανιστεί και στο παρελθόν, το οποίο πιθανότατα σχετίζεται με τον κακόφημο απειλητικό φορέα κινεζικής προέλευσης, LuckyMouse. Το πιο ιδιόμορφο χαρακτηριστικό αυτού του κακόβουλου λογισμικού είναι ο προσεκτικά επιλεγμένος driver του, υπογεγραμμένος με νόμιμο ψηφιακό πιστοποιητικό, το οποίο έχει εκδοθεί από εταιρεία που αναπτύσσει λογισμικό σχετικό με την ασφάλεια πληροφοριών.

Η ομάδα LuckyMouse είναι γνωστή για ιδιαίτερα στοχευμένες ψηφιακές επιθέσεις εναντίον μεγάλων οργανισμών σε όλο τον κόσμο. Η δραστηριότητα της Ομάδας θέτει σε κίνδυνο ολόκληρες περιοχές, συμπεριλαμβανομένης της Νοτιοανατολικής και Κεντρικής Ασίας, καθώς οι επιθέσεις της φαίνεται να κρύβουν μια πολιτική ατζέντα. Κρίνοντας από τα προφίλ των θυμάτων και τους προηγούμενους φορείς επίθεσης της Ομάδας, οι ερευνητές της Kaspersky Lab πιστεύουν ότι το Trojan που έχουν ανιχνεύσει θα μπορούσε να χρησιμοποιηθεί για κυβερνητική κατασκοπεία υποστηριζόμενη από έθνη-κράτη.

Το Trojan που ανακαλύφθηκε από τους ειδικούς της Kaspersky Lab «μόλυνε» έναν υπολογιστή-στόχο μέσω ενός driver που κατασκευάστηκε από τους φορείς απειλής. Αυτό επέτρεψε στους επιτιθέμενους να εκτελούν όλες τις συνήθεις εργασίες, όπως εκτέλεση εντολών, λήψη και φόρτωση αρχείων και παρεμπόδιση της κίνησης δικτύου.

Ο driver αποδείχθηκε το πιο ενδιαφέρον μέρος αυτής της εκστρατείας. Για να καταστεί αξιόπιστος, η ομάδα προφανώς έκλεψε ένα ψηφιακό πιστοποιητικό, το οποίο ανήκει σε έναν προγραμματιστή λογισμικού σχετικό με την ασφάλεια πληροφοριών και το χρησιμοποίησε για να υπογράψει δείγματα κακόβουλου λογισμικού. Αυτό έγινε σε μια προσπάθεια να αποφευχθεί η ανίχνευσή της από λύσεις ασφάλειας, καθώς μια νόμιμη υπογραφή κάνει το κακόβουλο λογισμικό να μοιάζει με νόμιμο.

Ένα άλλο αξιοσημείωτο χαρακτηριστικό του driver είναι ότι παρά την ικανότητα του Luckymouse να δημιουργεί το δικό του κακόβουλο λογισμικό, το λογισμικό που χρησιμοποιήθηκε για την επίθεση φαίνεται να είναι ένας συνδυασμός δειγμάτων κώδικα διαθέσιμων στο κοινό από δημόσιες αποθήκες και προσαρμοσμένου κακόβουλου λογισμικού. Μια τέτοια απλή υιοθέτηση ενός έτοιμου προς χρήση κώδικα τρίτου προμηθευτή, αντί να γράψει τον αρχικό κώδικα, εξοικονομεί χρόνο στους προγραμματιστές και καθιστά δυσκολότερη την απόδοση.

Όπως σημειώνει ο Denis Legezo, ερευνητής ασφάλειας στην Kaspersky Lab,

"Μια νέα εκστρατεία της LuckyMouse εμφανίζεται σχεδόν πάντα την ίδια στιγμή που έχει προηγηθεί ένα υψηλού προφίλ πολιτικό γεγονός και το χρονοδιάγραμμα μιας επίθεσης συνήθως προηγείται παγκοσμίων συνόδων κορυφής. Ο φορέας δεν ανησυχεί πολύ για την απόδοση - επειδή τώρα εφαρμόζουν δείγματα κώδικα τρίτου στα προγράμματά τους, δεν είναι χρονοβόρο για αυτούς να προσθέσουν ένα άλλο στρώμα στους droppers τους ή να αναπτύξουν μια τροποποίηση για το κακόβουλο λογισμικό και να παραμείνουν μη ανιχνεύσιμοι"

Η Kaspersky Lab έχει ανέφερει και κατά το παρελθόν ότι ο φορέας LuckyMouse επιτέθηκε σε ένα εθνικό κέντρο δεδομένων για να οργανώσει μια εκστρατεία τύπου waterholing σε επίπεδο χώρας.

Πώς να προστατευθείτε

  • Μην εμπιστεύεστε αυτόματα τον κώδικα που εκτελείται στα συστήματά σας. Τα ψηφιακά πιστοποιητικά δεν εγγυώνται την απουσία backdoors.
  • Χρησιμοποιήστε μια ισχυρή λύση ασφάλειας, εξοπλισμένη με τεχνολογίες ανίχνευσης κακόβουλων συμπεριφορών που επιτρέπουν την παγίδευση ακόμα και προηγουμένως άγνωστων απειλών.
  • Εγγράψτε την ομάδα ασφάλειας της επιχείρησης σας σε μια υψηλού προφίλ υπηρεσία Πληροφόρησης απειλών, ώστε να έχετε έγκαιρη πρόσβαση σε πληροφορίες σχετικά με τις πιο πρόσφατες εξελίξεις στις τακτικές, τις τεχνικές και τις διαδικασίες των εξελιγμένων φορέων απειλής.
Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Πώς να «σερφάρετε» στο διαδίκτυο με ασφάλεια: 6 απειλές, 12 βήματα

05 Αυγούστου 2022 Techgear Team

Η πύλη μας στον ψηφιακό κόσμο είναι οι λεγόμενοι web browsers (προγράμματα περιήγησης ιστού). Κάθε μέρα, περνάμε ατελείωτες ώρες σε αυτούς και ακριβώς για αυτό θεωρούνται πολύτιμος στόχος για τους ...

Η Google αναβαθμίζει την αναζήτηση με χρήση εισαγωγικών

05 Αυγούστου 2022 Christos Elpidis

Η Google προχωρά σε νέες αναβαθμίσεις της υπηρεσίας Google Search θέλοντας να ενισχύσει ακόμη περισσότερο τις δυνατότητες σύνθετης αναζήτησης, αλλά και να βοηθήσει τους χρήστες να βλέπουν αποτελέσματα που ...

Apple Pay: Πληρωμές σε Chrome, Firefox και Edge με την έλευση του iOS 16

03 Αυγούστου 2022 Christos Elpidis

Αρκετά πιθανό το σενάριο να δούμε την υπηρεσία Apple Pay να υποστηρίζεται από τους web browsers των κυριότερων ανταγωνιστών της εταιρείας με την έλευση του iOS 16 το φθινόπωρο. Σύμφωνα με τον Steve Moser της ...

Νέο ransomware γραμμένο σε γλώσσα Rust προκαλεί ακόμα μεγαλύτερες ανησυχίες

03 Αυγούστου 2022 Techgear Team

Σύμφωνα με τα ευρήματα των ερευνητών της Kaspersky, οι φορείς ransomware στρέφονται ολοένα και περισσότερο στη διαπλατφορμική λειτουργικότητα. Η ομάδα με το όνομα Luna αξιοποιεί τη χρήση ransomware που είναι ...

YouTube: Νέο εργαλείο εξάγει άμεσα Shorts από οποιοδήποτε video

01 Αυγούστου 2022 Christos Elpidis

Η επέλαση του TikTok δεν έχει θορυβήσει μόνο την Meta που προσπαθεί εδώ και μήνες να μετατρέψει το Instagram σε κάτι παρόμοιο και μάλιστα δέχεται έντονη κριτική από τους πιο επιφανείς influencers της πλατφόρμας...

Η Google αναβάλει την κατάργηση των third-party cookies για το 2024

01 Αυγούστου 2022 Christos Elpidis

Τα σχέδια της Google για την κατάργηση των third-party cookies από τον Chrome browser θα πάρουν αναβολή για το δεύτερο μισό του 2024, παρά το γεγονός ότι η εταιρεία φιλοδοξούσε να ολοκληρώσει την μετάβαση στο ...

No More Ransom: Βοήθησε 1,5+ εκατομμύριο ανθρώπους να αποκρυπτογραφήσουν τις συσκευές τους

28 Ιουλίου 2022 Techgear Team

Το No More Ransom, η πρωτοβουλία που ξεκίνησε για να βοηθήσει τα θύματα ransomware να αποκρυπτογραφήσουν τα αρχεία τους, συμπληρώνει έξι χρόνια παρουσίας. Από τους τέσσερις συνεργάτες που μετρούσε κατά την ...

Google Maps: Νέες λειτουργίες που θα διευκολύνουν τις καλοκαιρινές σας εξορμήσεις

28 Ιουλίου 2022 Techgear Team

Αν αυτές τις ζεστές, καλοκαιρινές μέρες εξακολουθούν να σας ενθουσιάζουν οι βόλτες και οι εξερευνήσεις με φίλους, το Google Maps θα σας βοηθήσει να συντονίσετε τα σχέδιά σας και να παραμείνετε συνδεδεμένοι. ...

Οι Έλληνες καταναλωτές ανήσυχοι και με νέες αγοραστικές συνήθειες, σε ένα διαρκώς πιο αβέβαιο περιβάλλον

28 Ιουλίου 2022 Techgear Team

Κόστος διαβίωσης, οικονομικά και υγεία οι βασικές ανησυχίες των Ελλήνων καταναλωτώνΕπτά στους δέκα (70%) δηλώνουν ότι ξοδεύουν λιγότερα χρήματα σε προϊόντα που δεν είναι πρώτης ανάγκηςΗ τιμή αναδεικνύεται, με ...

Υπηρεσίες αεροπορικών και τουριστικών κρατήσεων: Οι ψηφιακές απάτες αυξάνονται λόγω θέρους

27 Ιουλίου 2022 Techgear Team

Καθώς βρισκόμαστε εν μέσω περιόδου διακοπών, οι ταξιδιώτες σε όλον τον κόσμο αναζητούν όμορφους προορισμούς, φθηνή διαμονή και πτήσεις σε λογικές τιμές. Και οι απατεώνες του κυβερνοχώρου είναι εδώ για να τους ...

Loader
techgear_icon