A kiberbiztonsági kutatók összefüggést fedeztek fel a hírhedt DarkGate távoli hozzáférésű trójai (RAT) és a Ducktail információlopó mögött meghúzódó vietnami pénzügyi kiberbűnözési művelet között.
A WithSecure kutatói, akik 2022-ben észlelte Ducktail tevékenységét, miután több fertőzési kísérletet észleltek egyesült királyságbeli, egyesült államokbeli és indiai szervezetek ellen, megkezdték a vizsgálatot a DarkGate ellen.
„Gyorsan nyilvánvalóvá vált, hogy a csalogató dokumentumok és a célzás nagyon hasonlít a közelmúltbeli Ducktail infolopó kampányokhoz, és a DarkGate kampány nyílt forráskódú adatain keresztül több más információlopóhoz is el lehetett jutni, amelyeket nagy valószínűséggel ugyanaz a szereplő/csoport használ. ” – jegyezte meg a jelentés.
A DarkGate kötődései Ducktailhez
A DarkGate az backdoor malware számos rosszindulatú tevékenységre képes, beleértve az információlopást, a titkosítást, valamint a Skype, Teams és Messages használatát rosszindulatú programok terjesztésére.
A rosszindulatú program számos adatot ellophat a fertőzött eszközökről, beleértve a felhasználóneveket, jelszavakat, hitelkártyaszámokat és egyéb érzékeny információkat, és kriptovaluta bányászására használható fel a fertőzött eszközökön a felhasználó tudta vagy beleegyezése nélkül.
Használható zsarolóprogramok fertőzött eszközökre történő eljuttatására, titkosítja a felhasználó fájljait, és váltságdíj fizetését követeli azok visszafejtéséhez.
Stephen Robinson, a WithSecure vezető fenyegetés-intelligencia elemzője elmagyarázza, hogy a DarkGate rosszindulatú szoftverek magas szintű funkcionalitása nem változott a 2018-as kezdeti jelentés óta.
„Mindig is egy svájci kés volt, többfunkciós kártevő” – mondja. "Egyébként a szerző azóta többször frissítette és módosította, amiről feltételezhető, hogy javítani kívánta a rosszindulatú funkciók megvalósítását, és lépést tartani az AV/Malware észlelési fegyverkezési versenyével."
Megjegyzi, hogy a DarkGate kampányokat (és a mögöttük álló szereplőket) meg lehet különböztetni attól, hogy kit céloznak, milyen csalikat és fertőzést hordozó vektorokat használnak, valamint a célponton végzett tevékenységeiket.
„Az a konkrét vietnami klaszter, amelyre a jelentés összpontosít, ugyanazt a célzást, fájlneveket, sőt csalogató fájlokat használta több kampányhoz, amely több rosszindulatú programtörzset használt” – mondja Robinson.
PDF csalogató fájlokat hoztak létre egy online szolgáltatás segítségével, amely minden létrehozott fájlhoz hozzáadja a saját metaadatait; a metaadatok további erős kapcsolatokat teremtettek a különböző kampányok között.
Ezenkívül több rosszindulatú LNK-fájlt hoztak létre ugyanazon az eszközön, és nem törölték a metaadatokat, lehetővé téve a további tevékenységek fürtözését.
A DarkGate és a Ducktail közötti korrelációt nem technikai markerek, például csalifájlok, célzási minták és szállítási módszerek alapján határozták meg, amelyeket egy 15 oldalas összegyűjtöttünk. jelentést.
„Az olyan nem technikai mutatók, mint a csalogató fájlok és a metaadatok, rendkívül hatásos kriminalisztikai jelzések. A csali fájlok, amelyek csaliként csábítják az áldozatokat a rosszindulatú programok végrehajtására, felbecsülhetetlen értékű betekintést nyújtanak a támadók működési módjába, lehetséges célpontjaiba és fejlődő technikáiba” – magyarázza Callie Guenther, a Critical Start kiberfenyegetések kutatásáért felelős vezető menedzsere.
Hasonlóképpen, a metaadatok – például az „LNK Drive ID” vagy az olyan szolgáltatásokból származó részletek, mint a Canva – észrevehető nyomokat vagy mintákat hagyhatnak, amelyek különböző támadások vagy meghatározott szereplők között is fennmaradhatnak.
„Ezek az egységes minták, ha elemezzük, áthidalhatják a különböző kampányok közötti szakadékot, lehetővé téve a kutatóknak, hogy egy közös elkövetőnek tulajdonítsák őket, még akkor is, ha a rosszindulatú program technikai lábnyoma eltérő” – mondja.
Ngoc Bui, a Menlo Security kiberbiztonsági szakértője szerint alapvető fontosságú, hogy megértsük a különböző kártevő-családok közötti kapcsolatokat, amelyek ugyanazon fenyegetés szereplőihez kapcsolódnak.
„Segít egy átfogóbb fenyegetési profil felépítésében, valamint ezen fenyegető szereplők taktikájának és motivációinak azonosításában” – mondja Bui.
Például, ha a kutatók összefüggéseket találnak a DarkGate, a Ducktail, a Lobshot és a Redline Stealer között, akkor arra a következtetésre juthatnak, hogy egyetlen szereplő vagy csoport több kampányban vesz részt, ami magas szintű kifinomultságra utal.
„Segíthet az elemzőknek annak meghatározásában, hogy egynél több fenyegetési csoport dolgozik-e együtt, ahogyan azt a zsarolóvírus-kampányok és erőfeszítések kapcsán látjuk” – teszi hozzá Bui.
A MaaS hatással van a kiberfenyegetettségre
Bui rámutat, hogy a DarkGate szolgáltatásként elérhetősége jelentős hatással van a kiberbiztonsági környezetre.
„Csökkenti a belépési korlátot azon feltörekvő kiberbűnözők számára, akiknél esetleg hiányzik a technikai szakértelem” – magyarázza Bui. „Ennek eredményeként több személy vagy csoport férhet hozzá és telepíthet olyan kifinomult rosszindulatú programokat, mint a DarkGate, növelve az általános fenyegetettségi szintet.”
Bui hozzáteszi, hogy a malware-as-a-service (MaaS) ajánlatok kényelmes és költséghatékony eszközt kínálnak a kiberbűnözőknek a támadások végrehajtására.
Egy kiberbiztonsági elemző számára ez kihívást jelent, mert folyamatosan alkalmazkodniuk kell az új fenyegetésekhez, és mérlegelni kell annak lehetőségét, hogy több fenyegetés szereplője használja ugyanazt a kártevő-szolgáltatást.
Ez egy kicsit megnehezítheti a kártevőt használó fenyegetés szereplőjének nyomon követését is, mivel maga a rosszindulatú program visszakerülhet a fejlesztőhöz, és nem a kártevőt használó fenyegetőhöz.
Paradigmaváltás a védelemben
Guenther azt mondja, hogy a modern, folyamatosan fejlődő kiberfenyegetési környezet jobb megértése érdekében a védelmi stratégiákban paradigmaváltásra van szükség.
„A viselkedésalapú észlelési szekvenciák, valamint az AI és az ML kihasználása lehetővé teszi a rendellenes hálózati viselkedések azonosítását, felülmúlva az aláírás-alapú módszerek korábbi korlátait” – mondja.
Ezen túlmenően a fenyegetésekkel kapcsolatos intelligencia összevonása, valamint a felmerülő fenyegetésekkel és taktikákkal kapcsolatos kommunikáció elősegítése iparági vertikumok között katalizálhatja a korai felismerést és a mérséklést.
"A rendszeres ellenőrzések, amelyek magukban foglalják a hálózati konfigurációkat és a behatolási teszteket is, megelőzhetik a sebezhetőségeket" - teszi hozzá Guenther. "Emellett a jól informált munkaerő, amely képzett a kortárs fenyegetések és adathalász vektorok felismerésére, a szervezet első védelmi vonalává válik, jelentősen csökkentve a kockázati hányadost."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :van
- :is
- :nem
- $ UP
- 2018
- 7
- a
- Képes
- Rólunk
- hozzáférés
- át
- törvény
- cselekvések
- tevékenységek
- tevékenység
- szereplők
- alkalmazkodni
- Hozzáteszi
- Után
- ellen
- AI
- lehetővé teszi, hogy
- Is
- mindig
- an
- elemző
- Az elemzők
- elemzett
- és a
- látszólagos
- VANNAK
- fegyver
- AS
- becsvágyó
- feltételezni
- At
- Támadások
- Kísérletek
- ellenőrzések
- szerző
- elérhetőség
- vissza
- csali
- korlát
- BE
- lett
- mert
- válik
- óta
- viselkedés
- mögött
- hogy
- Jobb
- között
- HÍD
- Épület
- by
- Kampány
- Kampányok
- TUD
- képes
- kártya
- katalizál
- kihívás
- megváltozott
- Fürt
- Közös
- közlés
- megért
- átfogó
- megállapítja,
- Magatartás
- kapcsolat
- kapcsolatok
- beleegyezés
- Fontolja
- következetes
- kortárs
- folyamatosan
- Kényelmes
- Összefüggés
- költséghatékony
- készítette
- hitel
- hitelkártya
- kritikai
- cryptocurrency
- Cryptojacking
- cyber
- a számítógépes bűnözés
- kiberbűnözők
- Kiberbiztonság
- dátum
- visszafejtése
- Védelem
- szállít
- kézbesítés
- igényes
- telepíteni
- részletek
- Érzékelés
- Határozzuk meg
- eltökélt
- Fejlesztő
- eszköz
- Eszközök
- DID
- különböző
- differenciált
- nehéz
- terjeszteni
- dokumentumok
- hajtás
- minden
- Korai
- erőfeszítések
- átkarolás
- lehetővé téve
- átfogó
- belépés
- alapvető
- Még
- fejlődik
- példa
- végrehajtó
- szakértő
- szakvélemény
- Elmagyarázza
- családok
- filé
- Fájlok
- pénzügyi
- Találjon
- vezetéknév
- koncentrál
- Lábnyom
- A
- Törvényszéki
- elősegítése
- ból ből
- funkcionalitás
- funkciók
- további
- rés
- adott
- Csoport
- Csoportok
- Legyen
- he
- segít
- segít
- Magas
- nagyon
- HTTPS
- ID
- Azonosítás
- azonosító
- if
- hatásos
- Hatások
- végrehajtás
- következményei
- javul
- in
- Beleértve
- növekvő
- India
- mutatók
- egyének
- ipar
- információ
- kezdetben
- meglátások
- Intelligencia
- bele
- felbecsülhetetlen
- vizsgálat
- részt
- IT
- ITS
- maga
- jpg
- Tart
- tudás
- hiány
- táj
- Szabadság
- szint
- erőfölény
- mint
- Valószínű
- korlátozások
- vonal
- összekapcsolt
- linkek
- kis
- csinál
- malware
- Malware-as-a-Service (MaaS)
- menedzser
- Lehet..
- eszközök
- üzenetek
- Metaadatok
- mód
- esetleg
- enyhítés
- ML
- modern
- módosított
- Modus
- több
- Ráadásul
- motivációk
- többszörös
- kell
- nevek
- hálózat
- Új
- neves
- Megjegyzések
- hirhedt
- számok
- of
- ajánlat
- Ajánlat
- on
- ONE
- online
- nyitva
- nyílt forráskódú
- működés
- or
- szervezet
- szervezetek
- Más
- ki
- átfogó
- saját
- paradigma
- jelszavak
- minták
- fizetés
- behatolás
- Adathalászat
- tengely
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- pózok
- lehetőség
- lehetséges
- potenciális
- előző
- profil
- ad
- Futam
- hatótávolság
- Váltságdíj
- ransomware
- gyorsan
- PATKÁNY
- új
- felismerés
- csökkentő
- szabályos
- Kapcsolatok
- távoli
- távoli hozzáférés
- TÖBBSZÖR
- jelentést
- Jelentő
- kutatás
- kutatók
- eredményez
- Kockázat
- s
- Mondott
- azonos
- azt mondja,
- biztonság
- lát
- idősebb
- érzékeny
- szolgáltatás
- Szolgáltatások
- ő
- váltás
- jelentős
- hasonló
- óta
- egyetlen
- Skype
- kifinomult
- kifinomultság
- forrás
- különleges
- kezdet
- kezdődött
- István
- törzsek
- stratégiák
- erős
- lényegesen
- ilyen
- javasolja,
- kimagasló
- taktika
- cél
- célzás
- célok
- csapat
- Műszaki
- technikák
- tesztek
- mint
- hogy
- A
- Az Egyesült Királyságban
- azok
- Őket
- akkor
- Ezek
- ők
- ezt
- azok
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- Keresztül
- Ties
- nak nek
- együtt
- Csomagkövetés
- kiképzett
- trójai
- Uk
- fedetlen
- megértés
- frissítve
- us
- használt
- használó
- segítségével
- fajta
- függőlegesek
- nagyon
- áldozatok
- vietnami
- sérülékenységek
- volt
- we
- JÓL
- voltak
- amikor
- ami
- WHO
- széles
- Széleskörű
- törlés
- val vel
- nélkül
- munkaerő
- dolgozó
- zephyrnet