Cybersikkerhedsforskere har afsløret en forbindelse mellem den berygtede DarkGate remote access trojan (RAT) og den Vietnam-baserede finansielle cyberkriminalitet bag Ducktail infostealer.
WithSecures forskere, der opdagede Ducktails aktivitet i 2022, startede deres undersøgelse af DarkGate efter at have opdaget flere infektionsforsøg mod organisationer i Storbritannien, USA og Indien.
"Det blev hurtigt klart, at lokkedokumenterne og målretningen var meget lig de seneste Ducktail infostealer-kampagner, og det var muligt at pivotere gennem open source-data fra DarkGate-kampagnen til flere andre infostealere, som med stor sandsynlighed bliver brugt af den samme skuespiller/gruppe ", hedder det i rapporten.
DarkGates bånd til andehale
DarkGate er bagdør malware i stand til en bred vifte af ondsindede aktiviteter, herunder informationsstjæling, kryptojacking og brug af Skype, Teams og Messages til at distribuere malware.
Malwaren kan stjæle en række data fra inficerede enheder, herunder brugernavne, adgangskoder, kreditkortnumre og andre følsomme oplysninger og bruges til at mine kryptovalutaer på inficerede enheder uden brugerens viden eller samtykke.
Det kan bruges til at levere ransomware til inficerede enheder, kryptere brugerens filer og kræve løsesum for at dekryptere dem.
WithSecure senior trusselintelligensanalytiker Stephen Robinson forklarer, at DarkGate malware-funktionalitet på et højt niveau ikke har ændret sig siden den første rapportering i 2018.
"Det har altid været en schweizerkniv, multifunktionel malware," siger han. "Når det er sagt, er det gentagne gange blevet opdateret og modificeret af forfatteren siden da, hvilket vi kan antage har været for at forbedre implementeringen af disse ondsindede funktioner og for at holde trit med AV/Malware-detektions-våbenkapløbet."
Han bemærker, at DarkGate-kampagner (og aktørerne bag dem) kan skelnes efter, hvem de er rettet mod, de lokkemidler og infektionsvektorer, de bruger, og deres handlinger på målet.
"Den specifikke vietnamesiske klynge, som rapporten fokuserer på, brugte den samme målretning, filnavne og endda lokkefiler til flere kampagner ved hjælp af flere stammer af malware," siger Robinson.
De oprettede PDF lokkefiler ved hjælp af en onlinetjeneste, der tilføjer sine egne metadata til hver fil, der oprettes; at metadata gav yderligere stærke forbindelser mellem de forskellige kampagner.
De oprettede også flere ondsindede LNK-filer på den samme enhed og slettede ikke metadataene, hvilket gjorde det muligt at gruppere yderligere aktivitet.
Korrelationen mellem DarkGate og Ducktail blev bestemt ud fra ikke-tekniske markører såsom lokkefiler, målretningsmønstre og leveringsmetoder, samlet i en 15-siders indberette.
"Ikke-tekniske indikatorer som lokkefiler og metadata er meget virkningsfulde retsmedicinske signaler. Lokkefiler, der fungerer som lokkemad for at lokke ofre til at udføre malwaren, giver uvurderlig indsigt i en angribers modus operandi, deres potentielle mål og deres udviklende teknikker,” forklarer Callie Guenther, senior manager for cybertrusselsforskning hos Critical Start.
På samme måde kan metadata - information som "LNK Drive ID" eller detaljer fra tjenester som Canva - efterlade spor eller mønstre, der kan blive ved med forskellige angreb eller specifikke aktører.
"Disse konsistente mønstre kan, når de analyseres, bygge bro mellem forskellige kampagner, hvilket gør det muligt for forskere at tilskrive dem en fælles gerningsmand, selvom malwarens tekniske fodaftryk er forskelligt," siger hun.
Ngoc Bui, cybersikkerhedsekspert hos Menlo Security, siger, at det er vigtigt at forstå forholdet mellem forskellige malware-familier, der er knyttet til de samme trusselsaktører.
"Det hjælper med at opbygge en mere omfattende trusselsprofil og identificere disse trusselsaktørers taktik og motivation," siger Bui.
For eksempel, hvis forskere finder forbindelser mellem DarkGate, Ducktail, Lobshot og Redline Stealer, kan de muligvis konkludere, at en enkelt skuespiller eller gruppe er involveret i flere kampagner, hvilket tyder på et højt sofistikeret niveau.
"Det kan også hjælpe analytikere med at afgøre, om mere end én trusselgruppe arbejder sammen, som vi ser med ransomware-kampagner og indsats," tilføjer Bui.
MaaS påvirker cybertrussellandskabet
Bui påpeger, at tilgængeligheden af DarkGate som en tjeneste har betydelige konsekvenser for cybersikkerhedslandskabet.
"Det sænker adgangsbarrieren for aspirerende cyberkriminelle, som måske mangler teknisk ekspertise," forklarer Bui. "Som et resultat kan flere enkeltpersoner eller grupper få adgang til og implementere sofistikeret malware som DarkGate, hvilket øger det overordnede trusselsniveau."
Bui tilføjer, at malware-as-a-service (MaaS)-tilbud giver cyberkriminelle et praktisk og omkostningseffektivt middel til at udføre angreb.
For en cybersikkerhedsanalytiker udgør dette en udfordring, fordi de hele tiden skal tilpasse sig nye trusler og overveje muligheden for, at flere trusselsaktører bruger den samme malware-tjeneste.
Det kan også gøre sporing af trusselsaktøren ved hjælp af malware lidt sværere, da selve malwaren kan gruppere sig tilbage til udvikleren og ikke trusselsaktøren, der bruger malwaren.
Paradigmeskifte i forsvaret
Guenther siger, at for bedre at forstå det moderne, stadigt udviklende landskab med cybertrusler, er et paradigmeskifte i forsvarsstrategier påkrævet.
"At omfavne adfærdsbaserede detektionssekvenser samt udnyttelse af AI og ML giver mulighed for identifikation af unormal netværksadfærd, der overgår de tidligere begrænsninger for signaturbaserede metoder," siger hun.
Desuden kan sammenlægning af trusselsintelligens og fremme kommunikation om nye trusler og taktikker på tværs af industrivertikaler katalysere tidlig opdagelse og afbødning.
"Jævnlige audits, der omfatter netværkskonfigurationer og penetrationstests, kan forebyggende afsløre sårbarheder," tilføjer Guenther. "Desuden bliver en velinformeret arbejdsstyrke, uddannet i at genkende nutidige trusler og phishing-vektorer, en organisations første forsvarslinje, hvilket reducerer risikokvotienten væsentligt."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :har
- :er
- :ikke
- $OP
- 2018
- 7
- a
- I stand
- Om
- adgang
- tværs
- Lov
- aktioner
- aktiviteter
- aktivitet
- aktører
- tilpasse
- Tilføjer
- Efter
- mod
- AI
- tillader
- også
- altid
- an
- analytiker
- Analytikere
- analyseret
- ,
- tilsyneladende
- ER
- arme
- AS
- aspirerende
- antage
- At
- Angreb
- Forsøg på
- revisioner
- forfatter
- tilgængelighed
- tilbage
- lokkemad
- barriere
- BE
- blev
- fordi
- bliver
- været
- adfærd
- bag
- være
- Bedre
- mellem
- BRIDGE
- Bygning
- by
- Kampagne
- Kampagner
- CAN
- stand
- kort
- katalyserer
- udfordre
- ændret
- Cluster
- Fælles
- Kommunikation
- forstå
- omfattende
- konkluderer
- Adfærd
- tilslutning
- Tilslutninger
- samtykke
- Overvej
- konsekvent
- moderne
- løbende
- Praktisk
- Korrelation
- omkostningseffektiv
- oprettet
- kredit
- kreditkort
- kritisk
- cryptocurrency
- Cryptojacking
- Cyber
- cyberkriminalitet
- cyberkriminelle
- Cybersecurity
- data
- Dekryptér
- Forsvar
- levere
- levering
- krævende
- indsætte
- detaljer
- Detektion
- Bestem
- bestemmes
- Udvikler
- enhed
- Enheder
- DID
- forskellige
- differentieret
- svært
- distribuere
- dokumenter
- køre
- hver
- Tidligt
- indsats
- omfavne
- muliggør
- omfatter
- indrejse
- væsentlig
- Endog
- udviklende
- eksempel
- udførelse
- ekspert
- ekspertise
- Forklarer
- familier
- File (Felt)
- Filer
- finansielle
- Finde
- Fornavn
- fokuserer
- Fodspor
- Til
- Forensic
- fremme
- fra
- funktionalitet
- funktioner
- yderligere
- kløft
- gav
- gruppe
- Gruppens
- Have
- he
- hjælpe
- hjælper
- Høj
- stærkt
- HTTPS
- ID
- Identifikation
- identificere
- if
- effektfuld
- Påvirkninger
- implementering
- implikationer
- Forbedre
- in
- Herunder
- stigende
- Indien
- Indikatorer
- enkeltpersoner
- industrien
- oplysninger
- initial
- indsigt
- Intelligens
- ind
- uvurderlig
- undersøgelse
- involverede
- IT
- ITS
- selv
- jpg
- Holde
- viden
- Mangel
- landskab
- Forlade
- Niveau
- løftestang
- ligesom
- Sandsynlig
- begrænsninger
- Line (linje)
- forbundet
- links
- lidt
- lave
- malware
- Malware-as-a-Service (MaaS)
- leder
- Kan..
- midler
- beskeder
- Metadata
- metoder
- måske
- afbødning
- ML
- Moderne
- modificeret
- tilstand
- mere
- Desuden
- motivationer
- flere
- skal
- navne
- netværk
- Ny
- bemærkede
- Noter
- berygtet
- numre
- of
- tilbyde
- tilbud
- on
- ONE
- online
- åbent
- open source
- drift
- or
- organisation
- organisationer
- Andet
- ud
- samlet
- egen
- paradigme
- Nulstilling/ændring af adgangskoder
- mønstre
- betaling
- trænge ind
- Phishing
- Pivot
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- udgør
- Muligheden
- mulig
- potentiale
- tidligere
- Profil
- give
- Løb
- rækkevidde
- Ransom
- ransomware
- hurtigt
- ROTTE
- nylige
- anerkende
- reducere
- fast
- Relationer
- fjern
- Remote Access
- GENTAGNE GANGE
- indberette
- Rapportering
- forskning
- forskere
- resultere
- Risiko
- s
- Said
- samme
- siger
- sikkerhed
- se
- senior
- følsom
- tjeneste
- Tjenester
- hun
- skifte
- signifikant
- lignende
- siden
- enkelt
- Skype
- sofistikeret
- raffinement
- Kilde
- specifikke
- starte
- påbegyndt
- Stephen
- Stammer
- strategier
- stærk
- væsentligt
- sådan
- foreslår
- overgår
- taktik
- mål
- rettet mod
- mål
- hold
- Teknisk
- teknikker
- tests
- end
- at
- UK
- deres
- Them
- derefter
- Disse
- de
- denne
- dem
- trussel
- trusselsaktører
- trusler
- Gennem
- Slips
- til
- sammen
- Sporing
- uddannet
- Trojan
- Uk
- afdækket
- forståelse
- opdateret
- us
- anvendte
- Bruger
- ved brug af
- række
- vertikaler
- meget
- ofre
- vietnamesisk
- Sårbarheder
- var
- we
- GODT
- var
- hvornår
- som
- WHO
- bred
- Bred rækkevidde
- tørre
- med
- uden
- Workforce
- arbejder
- zephyrnet