SEK misvisende, malware, der er hostet på OS, gov ‘ t serveren i nye DNS-angreb

0
4

Nul

screen-shot-2017-10-12-at-08-30-38.jpg
File Foto

Forskere har opdaget en ny version af DNS-Messenger-angreb, der er forklædt som US Securities and Exchange Commission (SEC), og er vært for malware på kompromitterede regering servere.

Onsdag, sikkerhed forsker fra Cisco Talos viste resultaterne af en undersøgelse af DNS Messenger, fileless angreb, der bruger DNS-forespørgsler til at skubbe skadelige PowerShell-kommandoer på kompromitterede computere.

En ny version af dette angreb, som holdet siger, at de er “meget målrettet i naturen,” nu forsøger at gå på kompromis offer-systemer ved at foregive at være SEC Elektronisk Indsamling af Data Analysis, and Retrieval ” (EDGAR) system — for nylig i hjertet af et sikkerhedsbrud, der er relateret til finansielle svig — i, der er specielt udformet phishing-e-mail kampagner.

Disse falske e-mails er lavet dem synes berettiget, men bør offer åbne dem og hente en ondsindet vedhæftet fil, der er indeholdt i en “multi-fase-infektion proces” begynder.

Den skadelige vedhæftede filer, der anvendes i denne kampagne, er Microsoft Word-dokumenter. Men snarere end at bruge makroer eller OLE-objekter for at få fodfæste i et system, truslen aktører brugt en mindre udbredt metode til infektion, Dynamic Data Exchange (DDE), til at udføre programkode og installere en remote access Trojan (ROTTE).

Det er vigtigt at bemærke, at Microsoft siger, at DDE er ikke en kommerciel udnyttelse af spørgsmål, men snarere en funktion, “by design”, og vil ikke blive fjernet.

Talos er uenig, og hævder, at holdet har været vidne til DDE “aktivt bliver brugt af angribere i naturen, som vist i dette angreb.”

Ifølge Talos, den seneste malware-kampagne, der svarer til dens sidste evolution. Infektion proces bruger DNS TXT records til at skabe en tovejskommunikation command-and-control (C2) – kanal, som angribere er i stand til at interagere med Windows Kommandoen Processor med indholdet af DNS TXT record spørgsmål og svar genereret fra den trussel, skuespiller ‘ s DNS server.

Når den åbnes, brugerne bliver bedt om at tillade, at eksterne links skal hentes. Bør de er enige om, at det dokument, der når ud til at en hacker-kontrolleret kommando-og-kontrol (C&C) server, som udfører den første malware-infektion.

Denne malware blev i første omgang placeret på en Louisiana state regeringen hjemmeside, “tilsyneladende er kompromitteret, og der benyttes til dette formål,” i henhold til holdet.

PowerShell-kommandoer så komme i spil. Koden er hentet, uklar, og derefter henrettet, som skydes i gang vedholdenhed på systemer, registreringsdatabasen omskrivninger, der er planlagt opgave skabelse, og DNS-anmodninger er lavet.

“I dette særlige tilfælde, malware fremhævede mulighed for at udnytte WMI, ANNONCER, planlagte opgaver, samt nøgler i registreringsdatabasen for at få vedholdenhed,” bemærker forskerne. “Brugen af DNS som et transportmiddel, for senere tidspunkt kode og C2 kommunikation er også ved at blive mere og mere almindeligt.”

Mens holdet var i stand til at opnå den næste fase af PowerShell-kode fra C2-servere, Talos siger, at det er sandsynligt, at kommunikation er begrænset for at forhindre sikkerhed forskere fra at være i stand til at spore holdet og deres teknikker yderligere, hvilket gør det mere sandsynligt, at deres DNS-baserede angreb, der kan flyve under radaren i længere perioder.

Men ifølge forsker Anthony Yates, han var i stand til at sikre den endelige nyttelast ved at analysere nogle af resultaterne.

Yates siger, at nyttelasten er typisk C&C bot-kode, og omfatter indsamling af oplysninger kommandoer — tyder formålet med DNS-angreb er for cyberespionage.

“Hackere ofte benytter flere lag af formørkelse i et forsøg på at gøre analysen mere vanskeligt, undgå opdagelse og forebyggelse kapaciteter, og fortsætte med at operere under radaren ved at begrænse deres angreb, at kun de organisationer, som de er rettet mod,” Talos siger. “Det er også vigtigt for organisationer at være opmærksom på nogle af de mere interessante teknikker, at malware er hjælp til at afvikle ondsindet kode på systemer og få vedholdenhed på systemer, når de er smittet.”

ZDNet har nået ud til Cisco til yderligere oplysninger, og vil opdatere, hvis vi hører tilbage.

Tidligere og relaterede dækning

Dommer smadrer grænseløs garanterer for identitet af anti-Trump website brugere Carbanak hackere pivot plan for angreb til at målrette banker, virksomheden Mozilla piloter Cliqz motor i Firefox til at slubre bruger gennemser data

0