SEC misleidende, malware gehost op ONS anc-server in de nieuwe DNS-aanval

0
6

Nul

screen-shot-2017-10-12-at-08-30-38.jpg
Bestand Foto

Onderzoekers hebben ontdekt dat er een nieuwe versie van de DNS-Messenger-aanval die zich voordoet als de US Securities and Exchange Commission (SEC) en hosts malware op besmette regering servers.

Op woensdag, veiligheid onderzoek van Cisco Talos toonde de resultaten van een onderzoek naar de DNS-Messenger, een fileless aanval die gebruik maakt van de DNS-query ‘s te duwen schadelijke PowerShell commando’ s op besmette computers.

Een nieuwe versie van deze aanval, die het team zeggen is “sterk gericht op de natuur,” nu pogingen om in te breken slachtoffer systemen door te doen alsof de SEC Electronic Data Gathering, Analysis, and Retrieval (EDGAR) systeem — onlangs in het hart van een data-inbreuk met betrekking tot financiële fraude — in speciaal vervaardigde phishing e-mail campagnes.

Deze vervalste e-mails maakte ze lijken legitiem, maar moet een slachtoffer openen en downloaden van een kwaadaardige bijlage opgenomen in een “multi-stage infectie proces” begint.

De schadelijke bijlagen gebruikt in deze campagne van Microsoft Word-documenten. Echter, in plaats van het gebruik van macro ‘ s of OLE-objecten vaste voet te krijgen in een systeem, de dreiging acteurs een minder voorkomende methode van infectie, DDE (Dynamic Data Exchange) voor het uitvoeren van de uitvoering van code, en het installeren van een remote access Trojan (RAT).

Het is belangrijk op te merken dat Microsoft zegt dat DDE is een benutbare probleem, maar eerder een functie “by design,” en zullen niet worden verwijderd.

Talos is het niet eens, en beweert dat het team dat getuige is geweest van DDE “actief worden gebruikt door aanvallers in het wild, zoals aangetoond in deze aanval.”

Volgens Talos, de nieuwste malware campagne is vergelijkbaar met de laatste evolutie. Het infectie proces maakt gebruik van DNS TXT-records te maken van een bidirectionele command-and-control (C2) – kanaal, waarin aanvallers in staat zijn om te communiceren met de Windows Command Processor met behulp van de inhoud van de DNS TXT record vragen en reacties gegenereerd op basis van de dreiging van acteur DNS-server.

Wanneer het wordt geopend, wordt u gevraagd het toestaan van externe verbindingen worden opgehaald. Moeten ze het eens, de kwaadaardige document gaat uit naar een aanvaller gecontroleerde command-and-control (C&C) server die wordt uitgevoerd voor de eerste malware-infectie.

Deze malware werd aanvankelijk ondergebracht op een Louisiana state website van de overheid, “schijnbaar in het gedrang komt en gebruikt voor dit doel,” aldus het team.

Spreekt ZDNet, Craig Williams, Senior Technical Leader bij Cisco Talos zei dat tegen de tijd dat de bevindingen openbaar werden gemaakt, zijn de bestanden zijn verwijderd van de server.

PowerShell commando ‘ s dan in het spel komen. De Code wordt opgehaald, obfuscated, en vervolgens wordt uitgevoerd, welke begint persistentie op systemen, register herschrijft, geplande taak schepping, en DNS-verzoeken worden gedaan.

“In dit specifieke geval, de malware aanbevolen de mogelijkheid om gebruik te maken van WMI, ADVERTENTIES, geplande taken, evenals register sleutels tot het verkrijgen van persistentie,” de onderzoekers opmerking. “Het gebruik van DNS-als een overdracht voor later stadium code en C2 communicatie is ook steeds meer en meer gemeengoed.”

Terwijl het team was niet in staat om te verkrijgen de volgende fase van PowerShell code van de C2-servers, Talos zegt dat het waarschijnlijk is dat de communicatie worden beperkt om te voorkomen dat de onderzoekers van de veiligheid van de mogelijkheid tot het bijhouden van het team en hun technieken verder, waardoor het meer waarschijnlijk dat hun DNS-gebaseerde aanvallen kunnen vliegen onder de radar voor een langere periode.

Echter, volgens onderzoeker Anthony Yates, was hij in staat te stellen de laatste lading door het analyseren van een aantal van de bevindingen.

Yates zegt dat de lading typische C&C-bot code en omvat het verzamelen van informatie commando ‘ s — wat wijst op het doel van de DNS-aanval is voor cyberespionage.

“Aanvallers vaak gebruik van meerdere lagen van verduistering in een poging om de analyse moeilijker, ontwijken detectie en preventie-mogelijkheden, en blijven opereren onder de radar door het beperken van hun aanvallen om alleen die organisaties die zijn getarget,” Talos zegt. “Het is ook belangrijk voor organisaties om bewust te zijn van sommige van de meer interessante technieken die de malware gebruikt om kwaadaardige code wordt uitgevoerd op systemen en krijgen persistentie op systemen als ze eenmaal besmet zijn.”

Vorige en aanverwante dekking

Rechter slaat grenzeloze warrant voor de identiteit van anti-Trump gebruikers van de website Carbanak hackers pivot plan van aanval tot doel banken, de enterprise Mozilla piloten Cliqz engine in Firefox op te slurp gebruiker browsing data

0