Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια σύνδεση μεταξύ του διαβόητου trojan απομακρυσμένης πρόσβασης DarkGate (RAT) και της επιχείρησης χρηματοοικονομικού εγκλήματος στον κυβερνοχώρο με έδρα το Βιετνάμ πίσω από τον infotealer Ducktail.
Με τους ερευνητές της Secure, οι οποίοι εντόπισε τη δραστηριότητα του Ducktail το 2022, ξεκίνησαν την έρευνά τους για το DarkGate αφού εντόπισαν πολλαπλές απόπειρες μόλυνσης εναντίον οργανισμών στο Ηνωμένο Βασίλειο, τις ΗΠΑ και την Ινδία.
«Γρήγορα έγινε φανερό ότι τα έγγραφα και η στόχευση ήταν πολύ παρόμοια με τις πρόσφατες καμπάνιες πληροφοριών κλοπής Ducktail και ήταν δυνατή η περιστροφή μέσω δεδομένων ανοιχτού κώδικα από την καμπάνια DarkGate σε πολλούς άλλους infostealers που είναι πολύ πιθανό να χρησιμοποιούνται από τον ίδιο ηθοποιό/ομάδα », σημειώνει η έκθεση.
Οι δεσμοί του DarkGate με το Ducktail
Το DarkGate είναι κακόβουλο λογισμικό backdoor ικανό για ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, συμπεριλαμβανομένης της κλοπής πληροφοριών, της παραβίασης κρυπτογράφησης και της χρήσης Skype, Teams και Messages για τη διανομή κακόβουλου λογισμικού.
Το κακόβουλο λογισμικό μπορεί να κλέψει μια ποικιλία δεδομένων από μολυσμένες συσκευές, συμπεριλαμβανομένων ονομάτων χρήστη, κωδικών πρόσβασης, αριθμών πιστωτικών καρτών και άλλων ευαίσθητων πληροφοριών και να χρησιμοποιηθεί για την εξόρυξη κρυπτονομισμάτων σε μολυσμένες συσκευές χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.
Μπορεί να χρησιμοποιηθεί για την παράδοση ransomware σε μολυσμένες συσκευές, κρυπτογραφώντας τα αρχεία του χρήστη και απαιτώντας πληρωμή λύτρων για την αποκρυπτογράφηση τους.
Ο ανώτερος αναλυτής πληροφοριών απειλών της WithSecure, Stephen Robinson, εξηγεί ότι σε υψηλό επίπεδο, η λειτουργικότητα του κακόβουλου λογισμικού DarkGate δεν έχει αλλάξει από την αρχική αναφορά το 2018.
«Ήταν πάντα ένα ελβετικό μαχαίρι, ένα πολυλειτουργικό κακόβουλο λογισμικό», λέει. «Τούτου λεχθέντος, έχει επανειλημμένα ενημερωθεί και τροποποιηθεί από τον συγγραφέα έκτοτε, κάτι που μπορούμε να υποθέσουμε ότι ήταν για τη βελτίωση της υλοποίησης αυτών των κακόβουλων λειτουργιών και για να συμβαδίσει με τον αγώνα όπλων εντοπισμού AV/Malware».
Σημειώνει ότι οι καμπάνιες DarkGate (και οι ηθοποιοί πίσω από αυτές) μπορούν να διαφοροποιηθούν ανάλογα με το ποιος στοχεύουν, τα θέλγητρα και τους φορείς μόλυνσης που χρησιμοποιούν και τις ενέργειές τους στον στόχο.
"Το συγκεκριμένο βιετναμέζικο σύμπλεγμα στο οποίο επικεντρώνεται η αναφορά χρησιμοποίησε την ίδια στόχευση, ονόματα αρχείων και ακόμη και δέλεαρ αρχεία για πολλαπλές καμπάνιες χρησιμοποιώντας πολλαπλά στελέχη κακόβουλου λογισμικού", λέει ο Robinson.
Δημιούργησαν αρχεία δέλεαρ PDF χρησιμοποιώντας μια ηλεκτρονική υπηρεσία που προσθέτει τα δικά της μεταδεδομένα σε κάθε αρχείο που δημιουργείται. Αυτά τα μεταδεδομένα έδωσαν περαιτέρω ισχυρούς δεσμούς μεταξύ των διαφορετικών καμπανιών.
Δημιούργησαν επίσης πολλά κακόβουλα αρχεία LNK στην ίδια συσκευή και δεν διέγραψαν τα μεταδεδομένα, επιτρέποντας την ομαδοποίηση περαιτέρω δραστηριότητας.
Η συσχέτιση μεταξύ DarkGate και Ducktail προσδιορίστηκε από μη τεχνικούς δείκτες, όπως αρχεία δέλεαρ, μοτίβα στόχευσης και μεθόδους παράδοσης, που συγκεντρώθηκαν σε 15 σελίδες αναφέρουν.
«Οι μη τεχνικοί δείκτες όπως τα αρχεία και τα μεταδεδομένα είναι εξαιρετικά επιδραστικά εγκληματολογικά στοιχεία. Τα αρχεία Lure, τα οποία λειτουργούν ως δόλωμα για να δελεάσουν τα θύματα να εκτελέσουν το κακόβουλο λογισμικό, προσφέρουν ανεκτίμητες πληροφορίες για τον τρόπο λειτουργίας ενός εισβολέα, τους πιθανούς στόχους και τις εξελισσόμενες τεχνικές τους», εξηγεί η Callie Guenther, ανώτερη υπεύθυνη έρευνας για την απειλή στον κυβερνοχώρο στο Critical Start.
Ομοίως, τα μεταδεδομένα - πληροφορίες όπως το "LNK Drive ID" ή λεπτομέρειες από υπηρεσίες όπως το Canva - μπορούν να αφήσουν ευδιάκριτα ίχνη ή μοτίβα που μπορεί να διατηρηθούν σε διαφορετικές επιθέσεις ή συγκεκριμένους παράγοντες.
«Αυτά τα σταθερά μοτίβα, όταν αναλυθούν, μπορούν να γεφυρώσουν το χάσμα μεταξύ ποικίλων καμπανιών, επιτρέποντας στους ερευνητές να τις αποδώσουν σε έναν κοινό δράστη, ακόμα κι αν το τεχνικό αποτύπωμα του κακόβουλου λογισμικού διαφέρει», λέει.
Ο Ngoc Bui, ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο στο Menlo Security, λέει ότι η κατανόηση των σχέσεων μεταξύ διαφορετικών οικογενειών κακόβουλου λογισμικού που συνδέονται με τους ίδιους παράγοντες απειλής είναι απαραίτητη.
«Βοηθά στη δημιουργία ενός πιο ολοκληρωμένου προφίλ απειλών και στον εντοπισμό των τακτικών και των κινήτρων αυτών των παραγόντων απειλής», λέει ο Bui.
Για παράδειγμα, εάν οι ερευνητές βρουν συνδέσεις μεταξύ των DarkGate, Ducktail, Lobshot και Redline Stealer, μπορεί να καταλήξουν στο συμπέρασμα ότι ένας μεμονωμένος ηθοποιός ή ομάδα εμπλέκεται σε πολλές καμπάνιες, γεγονός που υποδηλώνει υψηλό επίπεδο πολυπλοκότητας.
«Μπορεί επίσης να βοηθήσει τους αναλυτές να προσδιορίσουν εάν περισσότερες από μία ομάδες απειλών συνεργάζονται, όπως βλέπουμε με τις εκστρατείες και τις προσπάθειες ransomware», προσθέτει ο Bui.
Επιπτώσεις MaaS Τοπίο Κυβερνοαπειλές
Η Bui επισημαίνει ότι η διαθεσιμότητα του DarkGate ως υπηρεσίας έχει σημαντικές επιπτώσεις στο τοπίο της κυβερνοασφάλειας.
«Μειώνει το φράγμα εισόδου για τους επίδοξους εγκληματίες του κυβερνοχώρου που μπορεί να μην έχουν τεχνική εξειδίκευση», εξηγεί ο Bui. «Ως αποτέλεσμα, περισσότερα άτομα ή ομάδες μπορούν να έχουν πρόσβαση και να αναπτύξουν εξελιγμένο κακόβουλο λογισμικό όπως το DarkGate, αυξάνοντας το συνολικό επίπεδο απειλής».
Η Bui προσθέτει ότι οι προσφορές malware-as-a-service (MaaS) παρέχουν στους εγκληματίες του κυβερνοχώρου ένα βολικό και οικονομικά αποδοτικό μέσο για τη διεξαγωγή επιθέσεων.
Για έναν αναλυτή κυβερνοασφάλειας, αυτό αποτελεί πρόκληση, επειδή πρέπει να προσαρμόζονται συνεχώς σε νέες απειλές και να εξετάζουν την πιθανότητα πολλαπλών παραγόντων απειλών να χρησιμοποιούν την ίδια υπηρεσία κακόβουλου λογισμικού.
Μπορεί επίσης να κάνει την παρακολούθηση του παράγοντα απειλής χρησιμοποιώντας το κακόβουλο λογισμικό λίγο πιο δύσκολη, καθώς το ίδιο το κακόβουλο λογισμικό μπορεί να συγκεντρωθεί στον προγραμματιστή και όχι στον παράγοντα απειλής που χρησιμοποιεί το κακόβουλο λογισμικό.
Αλλαγή παραδείγματος στην άμυνα
Ο Guenther λέει ότι για την καλύτερη κατανόηση του σύγχρονου, συνεχώς εξελισσόμενου τοπίου των απειλών στον κυβερνοχώρο, έχει καθυστερήσει μια αλλαγή παραδείγματος στις αμυντικές στρατηγικές.
«Η υιοθέτηση ακολουθιών ανίχνευσης που βασίζονται στη συμπεριφορά, καθώς και η αξιοποίηση της τεχνητής νοημοσύνης και της ML, επιτρέπει τον εντοπισμό ανώμαλων συμπεριφορών δικτύου, ξεπερνώντας τους προηγούμενους περιορισμούς των μεθόδων που βασίζονται σε υπογραφές», λέει.
Επιπλέον, η συγκέντρωση πληροφοριών για τις απειλές και η προώθηση της επικοινωνίας σχετικά με τις αναδυόμενες απειλές και τις τακτικές σε όλους τους κλάδους της βιομηχανίας μπορεί να καταλύσει την έγκαιρη ανίχνευση και τον μετριασμό.
«Οι τακτικοί έλεγχοι, που περιλαμβάνουν διαμορφώσεις δικτύου και δοκιμές διείσδυσης, μπορούν προληπτικά να αποκαλύψουν ευπάθειες», προσθέτει ο Guenther. «Επιπλέον, ένα καλά ενημερωμένο εργατικό δυναμικό, εκπαιδευμένο στην αναγνώριση των σύγχρονων απειλών και φορέων phishing, γίνεται η πρώτη γραμμή άμυνας ενός οργανισμού, μειώνοντας σημαντικά το πηλίκο κινδύνου».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :έχει
- :είναι
- :δεν
- $UP
- 2018
- 7
- a
- Ικανός
- Σχετικα
- πρόσβαση
- απέναντι
- Πράξη
- ενεργειών
- δραστηριοτήτων
- δραστηριότητα
- φορείς
- προσαρμόσει
- Προσθέτει
- Μετά το
- κατά
- AI
- επιτρέπει
- Επίσης
- πάντοτε
- an
- αναλυτής
- Αναλυτές
- αναλύθηκε
- και
- εμφανής
- ΕΙΝΑΙ
- όπλα
- AS
- επιδιώκοντας
- υποθέτω
- At
- Επιθέσεις
- Προσπάθειες
- έλεγχοι
- συγγραφέας
- διαθεσιμότητα
- πίσω
- δόλωμα
- φράγμα
- BE
- έγινε
- επειδή
- γίνεται
- ήταν
- συμπεριφορές
- πίσω
- είναι
- Καλύτερα
- μεταξύ
- ΓΕΦΥΡΑ
- Κτίριο
- by
- Εκστρατεία
- Καμπάνιες
- CAN
- ικανός
- κάρτα
- καταλύω
- πρόκληση
- άλλαξε
- συστάδα
- Κοινός
- Επικοινωνία
- κατανοώ
- περιεκτικός
- καταλήγω
- Διεξαγωγή
- σύνδεση
- Διασυνδέσεις
- συγκατάθεση
- Εξετάστε
- συνεπής
- σύγχρονος
- συνεχώς
- Βολικός
- Συσχέτιση
- αποδοτική
- δημιουργήθηκε
- μονάδες
- πιστωτική κάρτα
- κρίσιμης
- cryptocurrency
- Cryptojacking
- στον κυβερνοχώρο
- εγκλήματος στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- ημερομηνία
- Αποκρυπτογράφηση
- Άμυνα
- παραδώσει
- διανομή
- απαιτητικές
- παρατάσσω
- καθέκαστα
- Ανίχνευση
- Προσδιορίστε
- αποφασισμένος
- Εργολάβος
- συσκευή
- Συσκευές
- DID
- διαφορετικές
- διαφοροποιημένη
- δύσκολος
- διανέμω
- έγγραφα
- αυτοκίνητο
- κάθε
- Νωρίς
- προσπάθειες
- αγκαλιάζει
- ενεργοποίηση
- που περιλαμβάνει
- καταχώριση
- ουσιώδης
- Even
- εξελίσσεται
- παράδειγμα
- εκτέλεσης
- εμπειρογνώμονας
- εξειδίκευση
- Εξηγεί
- οικογένειες
- Αρχεία
- Αρχεία
- οικονομικός
- Εύρεση
- Όνομα
- εστιάζει
- Ίχνος
- Για
- Δικανικός
- προώθηση
- από
- λειτουργικότητα
- λειτουργίες
- περαιτέρω
- χάσμα
- έδωσε
- Group
- Ομάδα
- Έχω
- he
- βοήθεια
- βοηθά
- Ψηλά
- υψηλά
- HTTPS
- ID
- Αναγνώριση
- προσδιορισμό
- if
- επιπτώσεις
- Επιπτώσεις
- εκτέλεση
- επιπτώσεις
- βελτίωση
- in
- Συμπεριλαμβανομένου
- αύξηση
- Ινδία
- δείκτες
- άτομα
- βιομηχανία
- πληροφορίες
- αρχικός
- ιδέες
- Νοημοσύνη
- σε
- ανεκτίμητος
- έρευνα
- συμμετέχουν
- IT
- ΤΟΥ
- εαυτό
- jpg
- Διατήρηση
- γνώση
- Έλλειψη
- τοπίο
- Άδεια
- Επίπεδο
- μόχλευσης
- Μου αρέσει
- Πιθανός
- περιορισμούς
- γραμμή
- συνδέονται
- ΣΥΝΔΕΣΜΟΙ
- λίγο
- κάνω
- malware
- Malware-as-a-Service (MaaS)
- διευθυντής
- Ενδέχεται..
- μέσα
- μηνύματα
- Μεταδεδομένα
- μέθοδοι
- ενδέχεται να
- μείωση
- ML
- ΜΟΝΤΕΡΝΑ
- τροποποιημένο
- Τρόπος
- περισσότερο
- Εξάλλου
- κίνητρα
- πολλαπλούς
- πρέπει
- ονόματα
- δίκτυο
- Νέα
- Σημειώνεται
- Notes
- διαβόητος
- αριθμοί
- of
- προσφορά
- Offerings
- on
- ONE
- διαδικτυακά (online)
- ανοίξτε
- ανοικτού κώδικα
- λειτουργία
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- έξω
- φόρμες
- δική
- παράδειγμα
- Κωδικοί πρόσβασης
- πρότυπα
- πληρωμή
- διείσδυση
- Phishing
- άξονας περιστροφής
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- θέτει
- δυνατότητα
- δυνατός
- δυναμικού
- προηγούμενος
- Προφίλ ⬇️
- παρέχουν
- Αγώνας
- σειρά
- Λύτρα
- ransomware
- ταχέως
- ΑΡΟΥΡΑΙΟΣ
- πρόσφατος
- αναγνωρίζοντας
- μείωση
- τακτικός
- Σχέσεις
- μακρινός
- απομακρυσμένη πρόσβαση
- ΚΑΤ 'ΕΠΑΝΑΛΗΨΗ
- αναφέρουν
- Αναφορά
- έρευνα
- ερευνητές
- αποτέλεσμα
- Κίνδυνος
- s
- Είπε
- ίδιο
- λέει
- ασφάλεια
- δείτε
- αρχαιότερος
- ευαίσθητος
- υπηρεσία
- Υπηρεσίες
- αυτή
- αλλαγή
- σημαντικός
- παρόμοιες
- αφού
- ενιαίας
- Skype
- εξελιγμένα
- επιτήδευση
- Πηγή
- συγκεκριμένες
- Εκκίνηση
- ξεκίνησε
- Στέφανος
- Στελέχη
- στρατηγικές
- ισχυρός
- ουσιαστικά
- τέτοιος
- Προτείνει
- υπέροχος
- τακτική
- στόχος
- στόχευση
- στόχους
- ομάδες
- Τεχνικός
- τεχνικές
- δοκιμές
- από
- ότι
- Η
- το Ηνωμένο Βασίλειο
- τους
- Τους
- τότε
- Αυτοί
- αυτοί
- αυτό
- εκείνοι
- απειλή
- απειλή
- απειλές
- Μέσω
- Γραβάτες
- προς την
- μαζι
- Παρακολούθηση
- εκπαιδευμένο
- Trojan
- Uk
- ακάλυπτος
- κατανόηση
- ενημερώθηκε
- us
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- ποικιλία
- κατακόρυφα
- πολύ
- θύματα
- βιετναμέζικα
- Θέματα ευπάθειας
- ήταν
- we
- ΛΟΙΠΌΝ
- ήταν
- πότε
- Ποιό
- Ο ΟΠΟΊΟΣ
- ευρύς
- Ευρύ φάσμα
- σκουπίζω
- με
- χωρίς
- Εργατικό δυναμικό
- εργαζόμενος
- zephyrnet