SEK falska, malware värd på OSS gov ‘ t server i nya DNS-attack

0
4

Noll

screen-shot-2017-10-12-at-08-30-38.jpg
Arkiv Bild

Forskare har upptäckt en ny version av DNS-Messenger-attacken, som utger sig för att vara AMERIKANSKA Securities and Exchange Commission (SEC) och i och värdar skadlig programvara på komprometterade regeringen servrar.

På onsdag, säkerhet undersökningar från Cisco Talos visade resultaten av en undersökning av DNS-Messenger, en fileless attack som använder DNS-frågor för att driva skadliga PowerShell-kommandon på infekterade datorer.

En ny version av denna attack, som forskarna säger är “mycket riktad i naturen,” nu försök till kompromiss offer system genom att låtsas vara SEC Electronic Data Gathering Analys och Hämtning (EDGAR) — nyligen i hjärtat av ett dataintrång relaterade till finansiella bedrägerier — speciellt utformad för nätfiske-e-post kampanjer.

Dessa falska e-postmeddelanden gjort dem verkar legitima, men bör ett offer öppna dem och ladda ner en skadlig bifogad fil som finns i ett “multi-stage-infektion process” börjar.

Den skadliga bifogade filer som används i denna kampanj är Microsoft Word-dokument. Men i stället för att använda makron eller OLE-objekt för att få in en fot in i ett system, hot aktörer används en mindre vanlig metod för infektion, DDE (Dynamic Data Exchange) för att utföra kod och installera en remote access-Trojaner (RÅTTA).

Det är viktigt att notera att Microsoft säger att DDE är inte ett exploaterbart fråga, utan snarare en funktion av design,” och kommer inte att tas bort.

Talos håller med, och menar att laget har bevittnat DDE “aktivt används av angripare i det vilda, vilket framgår i denna attack.”

Enligt Talos, de senaste malware-kampanj är lik sin sista evolution. Infektion processen använder DNS-TXT-poster för att skapa en dubbelriktad kommando-och-kontroll (C2) kanal, där angripare kan interagera med Windows Command Processor med innehållet i DNS-TXT-post för frågor och svar som genereras från hot skådespelare DNS-server.

När de öppnas, användare ombeds att tillåta externa länkar hämtas. Ska de gå, det skadliga dokumentet når ut till en angripare-kontrollerad command-and-control (C&C) – server som körs den första malware infektion.

Detta malware var initialt värd på en Louisiana state regeringens hemsida, “till synes äventyras och som används för detta ändamål”, enligt teamet.

PowerShell-kommandon för att sedan komma in i bilden. Koden hämtas, förvrängd, och sedan utförs, som drar igång uthållighet på system, register omskrivningar, schemalagd aktivitet och skapande, och DNS-förfrågningar.

“I det här fallet, malware med förmåga att utnyttja WMI, ANNONSER, schemalagda aktiviteter, liksom registernycklar för att få uthållighet”, forskarna notera. “Användning av DNS som en överföring av senare skede kod och C2 kommunikation blir också mer och mer vanligt.”

Medan laget gick inte att få nästa steg i PowerShell-kod från C2-servrar, Talos säger att det är troligt att kommunikation är begränsad för att undvika säkerhet forskare från att kunna följa team och sin teknik ytterligare, vilket gör det mer sannolikt att deras DNS-baserade attacker kan flyga under radarn längre perioder.

Men enligt forskaren Anthony Yates, han kunde för att säkra den slutliga nyttolast genom att analysera några av resultaten.

Yates säger att nyttolasten är typiska C&C bot-kod, och innehåller information som samlas kommandon — vilket tyder på syftet med DNS-attack är för cyberespionage.

“Angripare använder ofta flera lager av mörkläggning i ett försök att göra analysen svårare att undgå upptäckt och förebyggande kapacitet och fortsätta att fungera under radarn genom att begränsa deras attacker att endast de organisationer som de riktar sig mot,” Talos säger. “Det är också viktigt för organisationer att vara medveten om några av de mer intressanta tekniker som malware använder för att köra skadlig kod på datorer och få uthållighet på system när de är smittade.”

ZDNet har nått ut till Cisco för ytterligare information och kommer att uppdatera om vi hör av sig igen.

Tidigare och relaterade täckning

Domaren slår gränslösa arresteringsorder för identiteter av anti-Trump webbplats för användare Carbanak hackare pivot plan för att attackera mål att banker, företag Mozilla piloter Cliqz motor i Firefox för att sörpla användare surfar data

0