Küberjulgeoleku teadlased on avastanud seose kurikuulsa DarkGate'i kaugjuurdepääsu troojalase (RAT) ja Vietnamis asuva Ducktaili infovarga taga tegutseva finantsküberkuritegevuse vahel.
WithSecure'i teadlased, kes märkas Ducktaili tegevust 2022. aastalalustas DarkGate'i uurimist pärast seda, kui tuvastas Ühendkuningriigi, USA ja India organisatsioonide vastu suunatud mitu nakatumiskatset.
"Kiiresti selgus, et peibutusdokumendid ja sihtimine olid väga sarnased hiljutiste Ducktaili infovarastajate kampaaniatega ning DarkGate'i kampaania avatud lähtekoodiga andmeid oli võimalik suunata mitmele teisele infovarastajale, mida suure tõenäosusega kasutab sama näitleja/grupp. ,” märgiti aruandes.
DarkGate'i sidemed Ducktailiga
DarkGate on tagauksega pahavara on võimeline sooritama laia valikut pahatahtlikke tegevusi, sealhulgas teabe varastamine, krüptootsimine ning Skype'i, Teamsi ja Messages kasutamine pahavara levitamiseks.
Pahavara võib nakatunud seadmetest varastada mitmesuguseid andmeid, sealhulgas kasutajanimesid, paroole, krediitkaardinumbreid ja muud tundlikku teavet ning seda kasutada nakatunud seadmetes krüptoraha kaevandamiseks ilma kasutaja teadmata või nõusolekuta.
Seda saab kasutada lunavara edastamiseks nakatunud seadmetesse, krüpteerides kasutaja faile ja nõudes nende dekrüpteerimiseks lunaraha.
WithSecure'i vanemohtude luureanalüütik Stephen Robinson selgitab, et kõrgel tasemel ei ole DarkGate'i pahavara funktsionaalsus pärast esialgset aruandlust 2018. aastal muutunud.
"See on alati olnud Šveitsi armee nuga, multifunktsionaalne pahavara," ütleb ta. "Sellest hoolimata on autor seda korduvalt värskendanud ja muutnud, mis võib eeldada nende pahatahtlike funktsioonide rakendamise parandamist ja AV/pahavara tuvastamise võidurelvastumisega sammu pidamist."
Ta märgib, et DarkGate'i kampaaniaid (ja nende taga olevaid osalejaid) saab eristada selle järgi, keda nad sihivad, kasutatavaid peibutisi ja nakkusvektoriid ning nende tegevust sihtmärgil.
"Konkreetne Vietnami klaster, millele aruanne keskendub, kasutas sama sihtimist, failinimesid ja isegi meelitusfaile mitme kampaania jaoks, kasutades mitut pahavara tüve," ütleb Robinson.
Nad lõid peibutus-PDF-faile võrguteenuse abil, mis lisab igale loodud failile oma metaandmed; need metaandmed lõid erinevate kampaaniate vahel tugevaid seoseid.
Samuti lõid nad samas seadmes mitu pahatahtlikku LNK-faili ega kustutanud metaandmeid, võimaldades edasisi tegevusi rühmitada.
DarkGate'i ja Ducktaili vaheline korrelatsioon määrati mittetehniliste markerite, näiteks peibutusfailide, sihtimismustrite ja kohaletoimetamismeetodite põhjal, mis on koondatud 15-leheküljelisesse aru.
„Mittetehnilised näitajad, nagu peibutusfailid ja metaandmed, on väga mõjusad kohtuekspertiisi näpunäited. Peibutusfailid, mis toimivad peibutussöödana, et meelitada ohvreid pahavara käivitama, pakuvad hindamatut teavet ründaja tööviiside, nende potentsiaalsete sihtmärkide ja arenevate tehnikate kohta,” selgitab Critical Starti küberohtude uurimise vanemjuht Callie Guenther.
Samamoodi võivad metaandmed – teave, nagu „LNK Drive ID” või üksikasjad sellistest teenustest nagu Canva – jätta märgatavaid jälgi või mustreid, mis võivad püsida erinevate rünnakute või konkreetsete osalejate puhul.
"Need järjekindlad mustrid võivad analüüsimisel ületada lõhe erinevate kampaaniate vahel, võimaldades teadlastel omistada need ühisele toimepanijale, isegi kui pahavara tehniline jalajälg erineb," ütleb ta.
Menlo Security küberjulgeolekuekspert Ngoc Bui ütleb, et samade ohuosalistega seotud erinevate pahavaraperekondade vaheliste suhete mõistmine on oluline.
"See aitab luua põhjalikuma ohuprofiili ja tuvastada nende ohus osalejate taktikad ja motivatsioonid, " ütleb Bui.
Näiteks kui teadlased leiavad seoseid DarkGate'i, Ducktaili, Lobshoti ja Redline Stealeri vahel, võivad nad järeldada, et üks näitleja või rühm osaleb mitmes kampaanias, mis viitab kõrgele keerukuse tasemele.
"See võib aidata ka analüütikutel kindlaks teha, kas rohkem kui üks ohurühm töötab koos, nagu näeme lunavarakampaaniate ja jõupingutuste puhul," lisab Bui.
MaaS mõjutab küberohu maastikku
Bui juhib tähelepanu sellele, et DarkGate'i kui teenuse kättesaadavus mõjutab oluliselt küberturvalisuse maastikku.
"See alandab sisenemisbarjääri pürgivatele küberkurjategijatele, kellel võivad puududa tehnilised teadmised," selgitab Bui. "Selle tulemusel pääseb rohkem üksikisikuid või rühmi juurde keerukale pahavarale, nagu DarkGate, ja seda juurutada, suurendades üldist ohutaset."
Bui lisab, et pahavara-teenusena (MaaS) pakkumised pakuvad küberkurjategijatele mugavat ja kulutõhusat vahendit rünnakute läbiviimiseks.
Küberjulgeolekuanalüütiku jaoks on see väljakutse, sest nad peavad pidevalt kohanema uute ohtudega ja arvestama võimalusega, et mitu ohus osalejat kasutab sama pahavarateenust.
Samuti võib see muuta pahavara kasutava ohutegija jälgimise pisut keerulisemaks, kuna pahavara ise võib koonduda tagasi arendaja, mitte pahavara kasutava ohutegija kätte.
Paradigma muutus kaitses
Guenther ütleb, et tänapäevase, pidevalt areneva küberohu maastiku paremaks mõistmiseks on kaitsestrateegiate paradigmamuutus hilinenud.
"Käitumispõhiste tuvastamisjärjestuste omaksvõtmine, samuti AI ja ML võimendamine võimaldab tuvastada anomaalseid võrgukäitumisi, ületades varasemad signatuuripõhiste meetodite piirangud, " ütleb ta.
Lisaks võib ohuteabe koondamine ning tekkivate ohtude ja taktikate alase kommunikatsiooni edendamine tööstusharu vertikaalsetes valdkondades katalüseerida varajast avastamist ja leevendamist.
"Regulaarsed auditid, mis hõlmavad võrgu konfiguratsioone ja läbitungimisteste, võivad turvaauke ennetavalt avastada," lisab Guenther. "Lisaks saab hästi informeeritud tööjõust, kes on koolitatud tänapäevaste ohtude ja andmepüügivektorite äratundmiseks, organisatsiooni esimene kaitseliin, mis vähendab oluliselt riskikoefitsienti."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :on
- :on
- :mitte
- $ UP
- 2018
- 7
- a
- Võimalik
- MEIST
- juurdepääs
- üle
- tegu
- meetmete
- tegevus
- tegevus
- osalejad
- kohandama
- Lisab
- pärast
- vastu
- AI
- võimaldab
- Ka
- alati
- an
- analüütik
- Analüütikud
- analüüsitud
- ja
- ilmne
- OLEME
- relvad
- AS
- ambitsioonikas
- eeldab
- At
- Reageerib
- Katsed
- auditid
- autor
- kättesaadavus
- tagasi
- sööt
- tõke
- BE
- sai
- sest
- muutub
- olnud
- käitumist
- taga
- on
- Parem
- vahel
- BRIDGE
- Ehitus
- by
- Kampaania
- Kampaaniad
- CAN
- võimeline
- kaart
- katalüüsima
- väljakutse
- muutunud
- Cluster
- ühine
- KOMMUNIKATSIOON
- mõista
- terviklik
- lõpetama
- Läbi viima
- ühendus
- Side
- nõusolek
- Arvestama
- järjepidev
- kaasaegne
- jätkuvalt
- Mugav
- Korrelatsioon
- kuluefektiivne
- loodud
- krediit
- krediitkaart
- kriitiline
- cryptocurrency
- Krüpteerimine
- cyber
- Küberkuritegevus
- küberkurjategijad
- Küberturvalisus
- andmed
- Avaldage lahti
- kaitse
- tarnima
- tarne
- nõudlik
- juurutada
- detailid
- Detection
- Määrama
- kindlaksmääratud
- arendaja
- seade
- seadmed
- DID
- erinev
- diferentseeritud
- raske
- levitada
- dokumendid
- ajam
- iga
- Varajane
- jõupingutusi
- omaks
- võimaldades
- haarav
- kanne
- oluline
- Isegi
- areneb
- näide
- hukkamine
- ekspert
- teadmised
- Selgitab
- peredele
- fail
- Faile
- finants-
- leidma
- esimene
- keskendub
- Jalajälg
- eest
- Kohtuekspertiisi
- edendamine
- Alates
- funktsionaalsus
- funktsioonid
- edasi
- lõhe
- andis
- Grupp
- Grupi omad
- Olema
- he
- aitama
- aitab
- Suur
- kõrgelt
- HTTPS
- ID
- Identifitseerimine
- identifitseerimiseks
- if
- mõjuv
- Mõjud
- täitmine
- mõjud
- parandama
- in
- Kaasa arvatud
- kasvav
- India
- näitajad
- inimesed
- tööstus
- info
- esialgne
- teadmisi
- Intelligentsus
- sisse
- hindamatu
- uurimine
- seotud
- IT
- ITS
- ise
- jpg
- hoidma
- teadmised
- puudus
- maastik
- Lahkuma
- Tase
- võimendav
- nagu
- Tõenäoliselt
- piirangud
- joon
- seotud
- lingid
- vähe
- tegema
- malware
- Pahavara teenusena (MaaS)
- juht
- mai..
- vahendid
- kirjad
- Metaandmed
- meetodid
- võib
- leevendamine
- ML
- Kaasaegne
- modifitseeritud
- moodus
- rohkem
- Pealegi
- motivatsioon
- mitmekordne
- peab
- nimed
- võrk
- Uus
- märkida
- märkused
- kuulsusrikk
- numbrid
- of
- pakkuma
- Pakkumised
- on
- ONE
- Internetis
- avatud
- avatud lähtekoodiga
- töö
- or
- organisatsioon
- organisatsioonid
- Muu
- välja
- üldine
- enda
- paradigma
- paroolid
- mustrid
- makse
- hõlvamine
- Phishing
- Pöördetelg
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võrra
- tekitab
- võimalus
- võimalik
- potentsiaal
- eelmine
- profiil
- anda
- Rass
- valik
- Lunaraha
- ransomware
- kiiresti
- ROT
- hiljuti
- tunnustamine
- vähendamine
- regulaarne
- Suhted
- kauge
- Remote Access
- KORDUVALT
- aru
- Aruandlus
- teadustöö
- Teadlased
- kaasa
- Oht
- s
- Ütlesin
- sama
- ütleb
- turvalisus
- vaata
- vanem
- tundlik
- teenus
- Teenused
- ta
- suunata
- märkimisväärne
- sarnane
- alates
- ühekordne
- Skype
- keeruline
- keerukus
- allikas
- konkreetse
- algus
- alustatud
- Stephen
- Tüved
- strateegiad
- tugev
- oluliselt
- selline
- Soovitab
- ületades
- taktika
- sihtmärk
- sihtimine
- eesmärgid
- meeskonnad
- Tehniline
- tehnikat
- testid
- kui
- et
- .
- Suurbritannia
- oma
- Neile
- SIIS
- Need
- nad
- see
- need
- oht
- ohus osalejad
- ähvardused
- Läbi
- Suhted
- et
- kokku
- Jälgimine
- koolitatud
- Trojan
- Uk
- katteta
- mõistmine
- ajakohastatud
- us
- Kasutatud
- Kasutaja
- kasutamine
- sort
- vertikaalid
- väga
- ohvreid
- vietnami
- Haavatavused
- oli
- we
- Hästi
- olid
- millal
- mis
- WHO
- lai
- Lai valik
- pühkige
- koos
- ilma
- Tööjõud
- töö
- sephyrnet