Kyberturvallisuustutkijat ovat paljastaneet yhteyden pahamaineisen DarkGate-etäkäyttötroijalaisen (RAT) ja Vietnamissa toimivan Ducktail-infovarastajan takana toimivan taloudellisen kyberrikollisuuden välillä.
WithSecuren tutkijat, jotka huomasi Ducktailin toiminnan vuonna 2022, aloittivat DarkGate-tutkimuksensa havaittuaan useita tartuntayrityksiä Yhdistyneessä kuningaskunnassa, Yhdysvalloissa ja Intiassa olevia organisaatioita vastaan.
"Nopeasti kävi ilmi, että houkutusasiakirjat ja kohdistus olivat hyvin samankaltaisia kuin viimeaikaisissa Ducktail-infovarastajien kampanjoissa, ja DarkGate-kampanjan avoimen lähdekoodin datan kautta oli mahdollista siirtää useita muita tietovarastoja, joita hyvin todennäköisesti sama toimija/ryhmä käyttää. ”, raportissa todettiin.
DarkGaten siteet Ducktailiin
DarkGate on takaoven haittaohjelmat kykenee monenlaisiin haitallisiin toimiin, mukaan lukien tietojen varastaminen, salaus ja Skypen, Teamsin ja Viestien käyttö haittaohjelmien levittämiseen.
Haittaohjelmat voivat varastaa erilaisia tietoja tartunnan saaneilta laitteilta, mukaan lukien käyttäjätunnuksia, salasanoja, luottokorttien numeroita ja muita arkaluonteisia tietoja, ja niitä voidaan käyttää kryptovaluutan louhimiseen tartunnan saaneilla laitteilla ilman käyttäjän tietämättä tai suostumusta.
Sitä voidaan käyttää lunnasohjelmien toimittamiseen tartunnan saaneille laitteille, salaamalla käyttäjän tiedostot ja vaatimalla lunnaita niiden salauksen purkamiseksi.
WithSecuren vanhempi uhkatiedon analyytikko Stephen Robinson selittää, että korkealla tasolla DarkGate-haittaohjelmien toiminnallisuus ei ole muuttunut alkuperäisen raportoinnin jälkeen vuonna 2018.
"Se on aina ollut Sveitsin armeijan veitsi, monitoiminen haittaohjelma", hän sanoo. "Kirjoittaja on kuitenkin päivittänyt ja muokannut sitä toistuvasti siitä lähtien, minkä voimme olettaa olleen näiden haitallisten toimintojen toteuttamisen parantaminen ja AV/Malware-tunnistuksen asekilpailun vauhtia pysyminen."
Hän huomauttaa, että DarkGate-kampanjat (ja niiden takana olevat toimijat) voidaan erottaa sen mukaan, kenelle ne on kohdistettu, käyttämiensä vieheiden ja tartuntavektorien sekä niiden toimien perusteella.
"Tietyssä vietnamilaisklusterissa, johon raportti keskittyy, käytettiin samaa kohdistusta, tiedostonimiä ja jopa houkutustiedostoja useissa kampanjoissa, joissa käytettiin useita haittaohjelmia", Robinson sanoo.
He loivat houkuttelevia PDF-tiedostoja verkkopalvelulla, joka lisää omat metatietonsa jokaiseen luotuun tiedostoon. metatiedot lisäsivät vahvoja yhteyksiä eri kampanjoiden välille.
He loivat myös useita haitallisia LNK-tiedostoja samalle laitteelle eivätkä pyyhineet metatietoja, mikä mahdollisti lisätoiminnan klusteroinnin.
DarkGaten ja Ducktailin välinen korrelaatio määritettiin ei-teknisten merkkien, kuten viehetiedostojen, kohdistuskuvioiden ja toimitusmenetelmien avulla, jotka on koottu 15-sivuiseen. raportti.
"Ei-tekniset indikaattorit, kuten viehetiedostot ja metatiedot, ovat erittäin vaikuttavia rikosteknisiä vihjeitä. Viestitiedostot, jotka toimivat syöttinä uhrien houkuttelemiseksi toteuttamaan haittaohjelmia, tarjoavat arvokasta tietoa hyökkääjän toimintatavoista, mahdollisista kohteista ja kehittyvistä tekniikoista”, selittää Callie Guenther, Critical Startin kyberuhkien tutkimuksen vanhempi johtaja.
Samoin metatiedot – tiedot, kuten ”LNK Drive ID” tai tiedot palveluista, kuten Canva – voivat jättää havaittavia jälkiä tai kuvioita, jotka saattavat säilyä eri hyökkäyksissä tai tietyissä toimijoissa.
"Nämä johdonmukaiset mallit voivat analysoituina kaventaa erilaisten kampanjoiden välistä kuilua, jolloin tutkijat voivat katsoa ne yhteisen tekijän syyksi, vaikka haittaohjelman tekninen jalanjälki eroaisikin", hän sanoo.
Menlo Securityn kyberturvallisuusasiantuntija Ngoc Bui sanoo, että samoihin uhkatoimijoihin liittyvien eri haittaohjelmaperheiden välisten suhteiden ymmärtäminen on välttämätöntä.
"Se auttaa rakentamaan kattavamman uhkaprofiilin ja tunnistamaan näiden uhkatoimijoiden taktiikat ja motivaatiot", Bui sanoo.
Esimerkiksi, jos tutkijat löytävät yhteyksiä DarkGaten, Ducktailin, Lobshotin ja Redline Stealerin välillä, he saattavat pystyä päättelemään, että yksi toimija tai ryhmä on mukana useissa kampanjoissa, mikä viittaa korkeaan kehittyneeseen tasoon.
"Se voi myös auttaa analyytikoita määrittämään, toimiiko useampi kuin yksi uhkaryhmä yhdessä, kuten näemme kiristyshaittaohjelmien kampanjoissa ja ponnisteluissa", Bui lisää.
MaaS vaikuttaa kyberuhan maisemaan
Bui huomauttaa, että DarkGaten saatavuudella palveluna on merkittäviä vaikutuksia kyberturvallisuusympäristöön.
"Se alentaa markkinoille pääsyn estettä pyrkiville kyberrikollisille, joilla ei ehkä ole teknistä asiantuntemusta", Bui selittää. "Tämän seurauksena useammat henkilöt tai ryhmät voivat käyttää ja ottaa käyttöön kehittyneitä haittaohjelmia, kuten DarkGatea, mikä lisää yleistä uhkatasoa."
Bui lisää, että malware-as-a-service (MaaS) -tarjoukset tarjoavat kyberrikollisille kätevän ja kustannustehokkaan tavan suorittaa hyökkäyksiä.
Kyberturvallisuusanalyytikolle tämä on haaste, koska heidän on jatkuvasti mukauduttava uusiin uhkiin ja otettava huomioon mahdollisuus, että useat uhkatoimijat käyttävät samaa haittaohjelmapalvelua.
Se voi myös tehdä haittaohjelmaa käyttävän uhkatekijän jäljittämisestä hieman vaikeampaa, koska itse haittaohjelma voi ryhmittyä takaisin kehittäjälle eikä haittaohjelmaa käyttävälle uhkatekijälle.
Paradigman muutos puolustuksessa
Guenther sanoo, että nykyaikaisen, jatkuvasti kehittyvän kyberuhan maiseman ymmärtäminen paremmin, puolustusstrategioiden paradigman muutos on myöhässä.
"Käyttäytymiseen perustuvien tunnistussekvenssien ottaminen huomioon sekä tekoälyn ja ML:n hyödyntäminen mahdollistaa poikkeavien verkkokäyttäytymisen tunnistamisen, mikä ylittää allekirjoituksiin perustuvien menetelmien aikaisemmat rajoitukset", hän sanoo.
Lisäksi uhkatiedon yhdistäminen ja kommunikoinnin edistäminen uusista uhista ja taktiikoista eri toimialoilla voi katalysoida varhaista havaitsemista ja lieventämistä.
"Säännölliset tarkastukset, jotka kattavat verkkomääritykset ja tunkeutumistestit, voivat ennaltaehkäisevästi paljastaa haavoittuvuuksia", Guenther lisää. "Lisäksi hyvin perillä olevasta työvoimasta, joka on koulutettu tunnistamaan nykyaikaiset uhat ja tietojenkalasteluvektorit, tulee organisaation ensimmäinen puolustuslinja, mikä vähentää riskiosuutta merkittävästi."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :on
- :On
- :ei
- $ YLÖS
- 2018
- 7
- a
- pystyy
- Meistä
- pääsy
- poikki
- Toimia
- toimet
- toiminta
- toiminta
- toimijoiden
- sopeuttaa
- Lisää
- Jälkeen
- vastaan
- AI
- mahdollistaa
- Myös
- aina
- an
- analyytikko
- analyytikot
- analysoidaan
- ja
- näennäinen
- OVAT
- aseet
- AS
- kunnianhimoinen
- olettaa
- At
- Hyökkäykset
- yrityksiä
- tarkastukset
- kirjoittaja
- saatavuus
- takaisin
- syötti
- este
- BE
- tuli
- koska
- tulee
- ollut
- käyttäytymistä
- takana
- ovat
- Paremmin
- välillä
- SILTA
- Rakentaminen
- by
- Kampanja
- Kampanjat
- CAN
- kykenee
- kortti
- katalysoivat
- haaste
- muuttunut
- Cluster
- Yhteinen
- Viestintä
- ymmärtää
- kattava
- päättelee
- Suorittaa
- liitäntä
- Liitännät
- suostumus
- Harkita
- johdonmukainen
- nykyajan
- jatkuvasti
- Mukava
- Korrelaatio
- kustannustehokas
- luotu
- pisteitä
- luottokortti
- kriittinen
- kryptovaluutta
- Cryptojacking
- cyber
- tietoverkkorikollisuuden
- verkkorikollisille
- tietoverkkojen
- tiedot
- Pura
- Puolustus
- toimittaa
- toimitus
- vaativa
- sijoittaa
- yksityiskohdat
- Detection
- Määrittää
- määritetty
- Kehittäjä
- laite
- Laitteet
- DID
- eri
- eriytetty
- vaikea
- jakaa
- asiakirjat
- ajaa
- kukin
- Varhainen
- ponnisteluja
- syleilee
- mahdollistaa
- kattaa
- merkintä
- olennainen
- Jopa
- kehittyvä
- esimerkki
- täytäntöönpanosta
- asiantuntija
- asiantuntemus
- selittää
- perheet
- filee
- Asiakirjat
- taloudellinen
- Löytää
- Etunimi
- keskittyy
- Jalanjälki
- varten
- oikeusopillinen
- edistäminen
- alkaen
- toiminnallisuus
- tehtävät
- edelleen
- kuilu
- antoi
- Ryhmä
- Ryhmän
- Olla
- he
- auttaa
- auttaa
- Korkea
- erittäin
- HTTPS
- ID
- Tunnistaminen
- tunnistaminen
- if
- vaikuttavia
- Vaikutukset
- täytäntöönpano
- vaikutukset
- parantaa
- in
- Mukaan lukien
- lisää
- Intia
- indikaattorit
- henkilöt
- teollisuus
- tiedot
- ensimmäinen
- oivalluksia
- Älykkyys
- tulee
- korvaamaton
- tutkimus
- osallistuva
- IT
- SEN
- itse
- jpg
- Pitää
- tuntemus
- Lack
- Landschaft
- jättää
- Taso
- vipuvaikutuksen
- pitää
- Todennäköisesti
- rajoitukset
- linja
- liittyvät
- linkit
- vähän
- tehdä
- haittaohjelmat
- Malware-as-a-Service (MaaS)
- johtaja
- Saattaa..
- välineet
- viestien
- Metadata
- menetelmät
- ehkä
- lieventäminen
- ML
- Moderni
- muokattu
- tila
- lisää
- Lisäksi
- motiivit
- moninkertainen
- täytyy
- nimet
- verkko
- Uusi
- huomattava
- Huomautuksia
- pahamaineinen
- numerot
- of
- kampanja
- tarjoukset
- on
- ONE
- verkossa
- avata
- avoimen lähdekoodin
- toiminta
- or
- organisaatio
- organisaatioiden
- Muut
- ulos
- yleinen
- oma
- paradigma
- salasanat
- kuviot
- maksu
- tunkeutuminen
- Phishing
- Tappi
- Platon
- Platonin tietotieto
- PlatonData
- pistettä
- aiheuttaa
- mahdollisuus
- mahdollinen
- mahdollinen
- edellinen
- Profiili
- toimittaa
- Rotu
- alue
- Lunnaat
- ransomware
- nopeasti
- RAT
- äskettäinen
- tunnustaa
- vähentämällä
- säännöllinen
- Ihmissuhteet
- kaukosäädin
- etäkäyttö
- TOISTUVASTI
- raportti
- Raportointi
- tutkimus
- Tutkijat
- johtua
- Riski
- s
- Said
- sama
- sanoo
- turvallisuus
- nähdä
- vanhempi
- sensible
- palvelu
- Palvelut
- hän
- siirtää
- merkittävä
- samankaltainen
- koska
- single
- Skype
- hienostunut
- kehittyneisyys
- lähde
- erityinen
- Alkaa
- alkoi
- Stephen
- kantoja
- strategiat
- vahva
- merkittävästi
- niin
- Ehdottaa
- verraton
- taktiikka
- Kohde
- kohdistaminen
- tavoitteet
- tiimit
- Tekninen
- tekniikat
- testit
- kuin
- että
- -
- UK
- heidän
- Niitä
- sitten
- Nämä
- ne
- tätä
- ne
- uhkaus
- uhka toimijat
- uhat
- Kautta
- Ties
- että
- yhdessä
- Seuranta
- koulutettu
- Troijalainen
- Uk
- kattamaton
- ymmärtäminen
- päivitetty
- us
- käytetty
- käyttäjä
- käyttämällä
- lajike
- pystysuunnassa
- hyvin
- uhrit
- vietnam
- haavoittuvuuksia
- oli
- we
- HYVIN
- olivat
- kun
- joka
- KUKA
- leveä
- Laaja valikoima
- pyyhkiä
- with
- ilman
- työvoima
- työskentely
- zephyrnet