חוקרי אבטחת סייבר חשפו קשר בין טרויאן הגישה מרחוק DarkGate הידוע לשמצה (RAT) לבין מבצע פשעי סייבר פיננסיים המבוססים בווייטנאם מאחורי גנב המידע Ducktail.
החוקרים של WithSecure, אשר זיהה את הפעילות של Ducktail בשנת 2022, החלו בחקירתם ב-DarkGate לאחר שזיהו ניסיונות זיהום מרובים נגד ארגונים בבריטניה, ארה"ב והודו.
"מהר התברר שמסמכי הפיתוי והמיקוד דומים מאוד לקמפיינים האחרונים של Ducktail infostealer, וניתן היה לעבור דרך נתוני קוד פתוח מקמפיין DarkGate למספר גונבי מידע אחרים שסביר מאוד שהם נמצאים בשימוש על ידי אותו שחקן/קבוצה ", צוין בדו"ח.
הקשרים של DarkGate עם זנב ברווז
DarkGate הוא תוכנות זדוניות מאחור מסוגל לבצע מגוון רחב של פעילויות זדוניות, כולל גניבת מידע, חטיפת קריפטו ושימוש ב-Skype, Teams ו-Messages כדי להפיץ תוכנות זדוניות.
התוכנה הזדונית יכולה לגנוב מגוון של נתונים ממכשירים נגועים, כולל שמות משתמש, סיסמאות, מספרי כרטיסי אשראי ומידע רגיש אחר ולשמש לכרות מטבעות קריפטוגרפיים במכשירים נגועים ללא ידיעת המשתמש או הסכמתו.
ניתן להשתמש בו כדי לספק תוכנות כופר למכשירים נגועים, להצפין את הקבצים של המשתמש ולדרוש תשלום כופר כדי לפענח אותם.
אנליסט מודיעין איומים בכיר WithSecure, סטיבן רובינסון, מסביר שברמה גבוהה, הפונקציונליות של DarkGate תוכנות זדוניות לא השתנתה מאז הדיווח הראשוני ב-2018.
"זה תמיד היה אולר שוויצרי, תוכנה זדונית רב-תכליתית", הוא אומר. "עם זאת, הוא עודכן ושונה שוב ושוב על ידי המחבר מאז, אשר אנו יכולים להניח כי היה כדי לשפר את היישום של אותן פונקציות זדוניות, וכדי לעמוד בקצב של מירוץ החימוש של זיהוי AV/Malware."
הוא מציין שניתן להבדיל בקמפיינים של DarkGate (והשחקנים שמאחוריהם) לפי מי הם מכוונים, הפתיונות וחומרי הזיהום שהם משתמשים בהם, והפעולות שלהם על המטרה.
"האשכול הווייטנאמי הספציפי שהדוח מתמקד בו השתמש באותו מיקוד, שמות קבצים ואפילו קבצי פיתוי עבור מסעות פרסום מרובים תוך שימוש במספר זנים של תוכנות זדוניות", אומר רובינסון.
הם יצרו קבצי פיתוי PDF באמצעות שירות מקוון שמוסיף מטא נתונים משלו לכל קובץ שנוצר; מטא נתונים נתנו קישורים חזקים נוספים בין הקמפיינים השונים.
הם גם יצרו קובצי LNK זדוניים מרובים באותו מכשיר ולא מחקו את המטא נתונים, מה שאיפשר לאסוף פעילות נוספת.
המתאם בין DarkGate ו- Ducktail נקבע מסמנים לא טכניים כגון קבצי פיתוי, דפוסי מיקוד ושיטות מסירה, שנאספו ב-15 עמודים לדווח.
"אינדיקטורים לא טכניים כמו קבצי פיתוי ומטא נתונים הם רמזים משפטיים בעלי השפעה רבה. קבצי פיתוי, הפועלים כפיתיון כדי לפתות קורבנות לבצע את התוכנה הזדונית, מציעים תובנות חשובות לאין ערוך לגבי דרכי הפעולה של התוקף, המטרות הפוטנציאליות שלו והטכניקות המתפתחות שלו", מסבירה קאלי גונתר, מנהלת בכירה לחקר איומי סייבר ב-Critical Start.
באופן דומה, מטא נתונים - מידע כמו "מזהה כונן LNK" או פרטים משירותים כמו Canva - יכולים להשאיר עקבות או דפוסים מובחנים שעלולים להימשך בין התקפות שונות או שחקנים ספציפיים.
"הדפוסים העקביים הללו, כאשר הם מנותחים, יכולים לגשר על הפער בין מסעות פרסום מגוונים, ולאפשר לחוקרים לייחס אותם לעבריין נפוץ, גם אם טביעת הרגל הטכנית של התוכנה הזדונית שונה", היא אומרת.
Ngoc Bui, מומחה לאבטחת סייבר ב-Menlo Security, אומר שהבנת הקשרים בין משפחות תוכנות זדוניות שונות המקושרות לאותם גורמי איומים היא חיונית.
"זה עוזר בבניית פרופיל איומים מקיף יותר ובזיהוי הטקטיקות והמניעים של גורמי האיום הללו", אומר בוי.
לדוגמה, אם חוקרים מוצאים קשרים בין DarkGate, Ducktail, Lobshot ו-Redline Stealer, ייתכן שהם יוכלו להסיק ששחקן או קבוצה בודדים מעורבים במספר קמפיינים, מה שמרמז על רמה גבוהה של תחכום.
"זה עשוי גם לעזור לאנליסטים לקבוע אם יותר מקבוצת איומים אחת עובדת יחד כפי שאנו רואים עם קמפיינים ומאמצים של תוכנות כופר", מוסיף Bui.
MaaS משפיע על נוף איומי סייבר
Bui מציין לזמינות של DarkGate כשירות יש השלכות משמעותיות על נוף אבטחת הסייבר.
"זה מוריד את מחסום הכניסה לפושעי סייבר שאפתנים שאולי חסרים מומחיות טכנית", מסביר בוי. "כתוצאה מכך, יותר אנשים או קבוצות יכולים לגשת ולפרוס תוכנות זדוניות מתוחכמות כמו DarkGate, להגדיל את רמת האיום הכוללת."
Bui מוסיף כי הצעות תוכנות זדוניות כשירות (MaaS) מספקות לפושעי סייבר אמצעי נוח וחסכוני לבצע התקפות.
עבור אנליסט אבטחת סייבר, זה מהווה אתגר מכיוון שהם חייבים להסתגל ללא הרף לאיומים חדשים ולשקול את האפשרות של מספר גורמי איומים להשתמש באותו שירות תוכנות זדוניות.
זה גם יכול להפוך את המעקב אחר שחקן האיום המשתמש בתוכנה זדונית לקשה יותר, שכן התוכנה הזדונית עצמה עשויה להתקבץ בחזרה למפתח ולא לשחקן האיום המשתמש בתוכנה הזדונית.
שינוי פרדיגמה בהגנה
גינטר אומר שכדי להבין טוב יותר את נוף איומי הסייבר המודרני, המתפתח ללא הרף, יש צורך בשינוי פרדיגמה באסטרטגיות ההגנה.
"אימוץ רצפי זיהוי מבוססי התנהגות, כמו גם מינוף AI ו-ML, מאפשר זיהוי של התנהגויות רשת חריגות, מעבר למגבלות הקודמות של שיטות מבוססות חתימות", היא אומרת.
יתרה מזאת, איגום מודיעין איומים וטיפוח תקשורת על איומים וטקטיקות מתעוררים על פני ענפי התעשייה יכולים לזרז גילוי מוקדם והפחתה.
"ביקורות רגילות, הכוללות תצורות רשת ובדיקות חדירה, יכולות לחשוף נקודות תורפה באופן מנע", מוסיף גינטר. "יתר על כן, כוח עבודה מיומן היטב, מיומן בזיהוי איומים עכשוויים ובוקטורים של פישינג, הופך לקו ההגנה הראשון של הארגון, ומפחית את מנת הסיכון באופן משמעותי."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 2018
- 7
- a
- יכול
- אודות
- גישה
- לרוחב
- לפעול
- פעולות
- פעילויות
- פעילות
- שחקנים
- להסתגל
- מוסיף
- לאחר
- נגד
- AI
- מאפשר
- גם
- תמיד
- an
- מנתח
- אנליסטים
- מְנוּתָח
- ו
- לכאורה
- ARE
- נשק
- AS
- שאפתן
- לְהַנִיחַ
- At
- המתקפות
- ניסיונות
- ביקורת
- מחבר
- זמינות
- בחזרה
- פְּתָיוֹן
- מחסום
- BE
- הפך
- כי
- הופך להיות
- היה
- התנהגויות
- מאחור
- להיות
- מוטב
- בֵּין
- לְגַשֵׁר
- בִּניָן
- by
- מבצע
- קמפיינים
- CAN
- מסוגל
- כרטיס
- לזרז
- לאתגר
- השתנה
- אשכול
- Common
- תקשורת
- לִהַבִין
- מַקִיף
- מסכם
- לנהל
- הקשר
- חיבורי
- הסכמה
- לשקול
- עִקבִי
- עכשווי
- תמיד
- נוֹחַ
- מתאם
- עלות תועלת
- נוצר
- אשראי
- כרטיס אשראי
- קריטי
- מטבע מבוזר
- Cryptojacking
- סייבר
- פשעי אינטרנט
- עברייני אינטרנט
- אבטחת סייבר
- נתונים
- פענוח
- גופי בטחון
- למסור
- מסירה
- תובעני
- לפרוס
- פרטים
- איתור
- לקבוע
- נחוש
- מפתח
- מכשיר
- התקנים
- DID
- אחר
- מובחנים
- קשה
- לְהָפִיץ
- מסמכים
- נהיגה
- כל אחד
- מוקדם
- מַאֲמָצִים
- מחבק
- מה שמאפשר
- מקיף
- כניסה
- חיוני
- אֲפִילוּ
- מתפתח
- דוגמה
- מבצע
- מומחה
- מומחיות
- מסביר
- משפחות
- שלח
- קבצים
- כספי
- ראשון
- מתמקד
- עָקֵב
- בעד
- משפטי
- טיפוח
- החל מ-
- פונקציונלי
- פונקציות
- נוסף
- פער
- נתן
- קְבוּצָה
- קבוצה
- יש
- he
- לעזור
- עוזר
- גָבוֹהַ
- מאוד
- HTTPS
- ID
- הזדהות
- זיהוי
- if
- בר - השפעה
- השפעות
- הפעלה
- השלכות
- לשפר
- in
- כולל
- גדל
- הודו
- אינדיקטורים
- אנשים
- תעשייה
- מידע
- בתחילה
- תובנות
- מוֹדִיעִין
- אל תוך
- לֹא יְסוּלֵא בְּפָּז
- חקירה
- מעורב
- IT
- שֶׁלָה
- עצמו
- jpg
- שמור
- ידע
- חוסר
- נוף
- יציאה
- רמה
- מינוף
- כמו
- סביר
- מגבלות
- קו
- צמוד
- קישורים
- קְצָת
- לעשות
- תוכנות זדוניות
- תוכנה זדונית כשירות (MaaS)
- מנהל
- מאי..
- אומר
- הודעות
- מידע נוסף
- שיטות
- יכול
- הֲקָלָה
- ML
- מודרני
- שונים
- מוֹדוּס
- יותר
- יתר על כן
- המניעים
- מספר
- צריך
- שמות
- רשת
- חדש
- ציין
- הערות
- יָדוּעַ לְשִׁמצָה
- מספרים
- of
- הַצָעָה
- הצעות
- on
- ONE
- באינטרנט
- לפתוח
- קוד פתוח
- מבצע
- or
- ארגון
- ארגונים
- אחר
- הַחוּצָה
- מקיף
- שֶׁלוֹ
- פרדיגמה
- סיסמאות
- דפוסי
- תשלום
- חֲדִירָה
- דיוג
- Pivot
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- תנוחות
- אפשרות
- אפשרי
- פוטנציאל
- קודם
- פּרוֹפִיל
- לספק
- גזע
- רכס
- כופר
- ransomware
- מהר
- דרג
- לאחרונה
- זיהוי
- הפחתה
- רגיל
- מערכות יחסים
- מרחוק
- גישה מרחוק
- שוב ושוב
- לדווח
- דווח
- מחקר
- חוקרים
- תוצאה
- הסיכון
- s
- אמר
- אותו
- אומר
- אבטחה
- לִרְאוֹת
- לחצני מצוקה לפנסיונרים
- רגיש
- שרות
- שירותים
- היא
- משמרת
- משמעותי
- דומה
- since
- יחיד
- סקייפ
- מתוחכם
- תִחכּוּם
- מָקוֹר
- ספציפי
- התחלה
- החל
- סטיבן
- זנים
- אסטרטגיות
- חזק
- באופן משמעותי
- כזה
- מציע
- מְצוּיָן
- טקטיקה
- יעד
- מיקוד
- מטרות
- צוותי
- טכני
- טכניקות
- בדיקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- בריטניה
- שֶׁלָהֶם
- אותם
- אז
- אלה
- הֵם
- זֶה
- אלה
- איום
- איום שחקנים
- איומים
- דרך
- קשרים
- ל
- יַחַד
- מעקב
- מְאוּמָן
- טרויאני
- Uk
- חָשׂוּף
- הבנה
- מְעוּדכָּן
- us
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- מגוון
- אנכיות
- מאוד
- קורבנות
- ויאטנמית
- פגיעויות
- היה
- we
- טוֹב
- היו
- מתי
- אשר
- מי
- רָחָב
- טווח רחב
- נגב
- עם
- לְלֹא
- כוח עבודה
- עובד
- זפירנט