Utvecklingen av skadlig programvara
Cybersäkerhetsföretaget ESET har upptäckt att en känd och svårfångad hackgrupp har tyst distribuerat en skadlig kod som har några specifika mål. Skadlig programvara utnyttjar en bakdörr som har passerat under radaren framgångsrikt tidigare. Dessutom gör programvaran några intressanta tester för att säkerställa att den riktar sig till en aktivt använd dator. Om skadlig kod inte upptäcker aktivitet eller inte är nöjd stängs den helt enkelt av och försvinner för att bibehålla optimal smyg och undvika eventuell upptäckt. Den nya skadliga programvaran letar efter viktiga personligheter inom statens regeringsmaskineri. Enkelt uttryckt går skadlig programvara efter diplomater och regeringsdepartement över hela världen
De Ke3chang avancerad ihållande hotgrupp verkar ha dykt upp igen med en ny fokuserad hackingskampanj. Gruppen har framgångsrikt lanserat och hanterat cyber-spionagekampanjer sedan minst 2010. Gruppens aktiviteter och exploateringar är ganska effektiva. I kombination med de avsedda målen verkar det som om gruppen sponsras av en nation. Den senaste sorten av skadlig kod som används av Ke3chang gruppen är ganska sofistikerad. Tidigare distribuerade trojaner med fjärråtkomst och annan skadlig kod var också väl utformade. Den nya skadliga programvaran går dock utöver blind eller massinfektion av de riktade maskinerna. Istället är dess beteende ganska logiskt. Skadlig programvara försöker bekräfta och autentisera målets och maskinens identitet.
Cybersäkerhetsforskare på ESET identifierar nya attacker av Ke3chang:
Ke3changs avancerade beständiga hotgrupp, aktiv sedan minst 2010, identifieras också som APT 15. Det populära slovakiska antivirusprogrammet, brandväggen och andra cybersäkerhetsföretag ESET har identifierat bekräftade spår och bevis på gruppens aktiviteter. ESET-forskare hävdar att Ke3chang-gruppen använder sina beprövade och pålitliga tekniker. Men skadlig programvara har uppdaterats väsentligt. Dessutom försöker gruppen att utnyttja en ny bakdörr den här gången. Den tidigare oupptäckta och orapporterade bakdörren kallas preliminärt Okrum.
ESET-forskare angav vidare att deras interna analys indikerar att gruppen går efter diplomatiska organ och andra statliga institutioner. Förresten har Ke3chang-gruppen varit exceptionellt aktiv i att genomföra sofistikerade, riktade och ihållande cyberspionagekampanjer. Traditionellt gick gruppen efter regeringstjänstemän och viktiga personligheter som arbetade med regeringen. Deras aktiviteter har observerats i länder över hela Europa och Central- och Sydamerika.
Ny Okrum-skadlig programvara som används av Ke3chang Group för att rikta diplomater https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO
- Store4app (@ Store4app1) 18 juli 2019
ESETs intresse och fokus fortsätter att vara kvar på Ke3chang-gruppen eftersom gruppen har varit ganska aktiv i företagets hemland, Slovakien. Men andra populära mål för gruppen är Belgien, Kroatien, Tjeckien i Europa. Gruppen är känd för att ha riktat sig mot Brasilien, Chile och Guatemala i Sydamerika. Ke3chang-gruppens aktiviteter tyder på att det kan vara en statligt sponsrad hackgrupp med kraftfull hårdvara och andra programverktyg som inte är tillgängliga för vanliga eller enskilda hackare. Därför kan de senaste attackerna också vara en del av en långvarig långvarig kampanj för att samla intelligens, konstaterade Zuzana Hromcova, forskare på ESET, 'Angriparens huvudsakliga mål är sannolikt cyberspionage, det är därför de valde dessa mål.'
Hur fungerar Ketrican Malware och Okrum Backdoor?
Ketricans skadliga program och Okrum bakdörr är ganska sofistikerade. Säkerhetsforskare undersöker fortfarande hur bakdörren installerades eller släpptes på de riktade maskinerna. Medan distributionen av Okrums bakdörr fortsätter att förbli ett mysterium, är dess verksamhet ännu mer fascinerande. Okrums bakdörr genomför några programvarutester för att bekräfta att den inte körs i en sandlåda, vilket i grunden är ett säkert virtuellt utrymme som säkerhetsforskare använder för att observera beteendet hos skadlig programvara. Om lastaren inte får tillförlitliga resultat avslutas den helt enkelt för att undvika upptäckt och ytterligare analys.
Okrums bakdörrs metod för att bekräfta att den körs på en dator som fungerar i den verkliga världen är också ganska intressant. Lastaren eller bakdörren aktiverar vägen för att ta emot den faktiska nyttolasten efter att vänster musknapp har klickats minst tre gånger. Forskare tror att detta bekräftande test utförs främst för att säkerställa att bakdörren fungerar på verkliga, fungerande maskiner och inte virtuella maskiner eller sandlådor.
När lastaren är nöjd ger Okrums bakdörr sig själv fullständiga administratörsbehörigheter och samlar in information om den infekterade maskinen. Den tabellerar information som datorns namn, användarnamn, IP-adress för värden och vilket operativsystem som är installerat. Därefter kräver det ytterligare verktyg. Den nya Ketrican-skadlig programvaran är också ganska sofistikerad och har flera funktioner. Det har till och med en inbyggd nedladdare samt en uppladdare. Uppladdningsmotorn används för att smygande exportera filer. Nedladdningsverktyget i skadlig programvara kan kräva uppdateringar och till och med utföra komplexa skalkommandon för att tränga djupt in i värdmaskinen.
En gammal skuggig skadlig skadegruppsgrupp som tros fungera från Kina har inriktat diplomater med vad infosec-forskare säger är en tidigare odokumenterad bakdörr. Ke3chang-gruppen, som har varit aktiv i ett antal år, har länge varit ... https://t.co/n1TBoQ1pQX
- Registret: Sammanfattning (@_TheRegister) 18 juli 2019
ESET-forskare hade tidigare observerat Okrums bakdörr kunde till och med distribuera ytterligare verktyg som Mimikatz. Det här verktyget är i huvudsak en stealth keylogger. Det kan observera och spela in tangenttryckningar och försöka stjäla inloggningsuppgifter till andra plattformar eller webbplatser.
För övrigt har forskare märkt flera likheter i kommandona som Okrum bakdörr och Ketrican malware använder för att kringgå säkerhet, bevilja förhöjda privilegier och genomföra andra olagliga aktiviteter. Den omisskännliga likheten mellan de två har lett till att forskarna tror att de två är nära besläktade. Om det inte är en tillräckligt stark förening, hade båda programvaran riktat sig mot samma offer, konstaterade Hromcova, ”Vi började ansluta prickarna när vi upptäckte att Okrums bakdörr användes för att släppa en Ketrican bakdörr, sammanställd 2017. Ovanpå det , vi fann att vissa diplomatiska enheter som påverkades av Okrum-skadlig programvara och 2015-bakdörrarna från Ketrican också påverkades av bakdörrarna från Ketrican 2017. ”
Ke3changs APT-grupp släpper Okrums bakdörrbomb mot diplomatiska mål https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR
- 420 Cyber, Inc. (@ 420Cyber) 18 juli 2019
De två relaterade delarna av skadlig programvara som är åtskilda år, och de ihållande aktiviteterna från Ke3changs avancerade ihållande hotgrupp indikerar att gruppen har varit lojal mot it-spionage. ESET är övertygad om att gruppen har förbättrat sin taktik och attackernas natur har ökat i sofistikering och effektivitet. Cybersäkerhetsgruppen har länge krönikerat gruppens exploateringar och har gjort det upprätthålla en detaljerad analysrapport .
Ganska nyligen rapporterade vi om hur en hackgrupp hade övergett sina andra olagliga onlineaktiviteter och började fokusera på cyberspionage . Det är troligt att hackgrupper kan hitta bättre möjligheter och belöningar i denna aktivitet. Med statssponserade attacker i uppväxt kan oseriösa regeringar också i hemlighet stödja grupperna och erbjuda dem benådning i utbyte av värdefulla statshemligheter.
