Cybersikkerhetsforskere har avdekket en forbindelse mellom den beryktede DarkGate-trojaneren for fjerntilgang (RAT) og den Vietnam-baserte finansielle nettkriminalitetsoperasjonen bak Ducktail infostealer.
WithSecures forskere, som oppdaget Ducktails aktivitet i 2022, startet etterforskningen av DarkGate etter å ha oppdaget flere infeksjonsforsøk mot organisasjoner i Storbritannia, USA og India.
"Det viste seg raskt at lokkedokumentene og målrettingen var veldig lik nyere Ducktail infostealer-kampanjer, og det var mulig å pivotere gjennom åpen kildekode-data fra DarkGate-kampanjen til flere andre infostealere som med stor sannsynlighet blir brukt av samme aktør/gruppe ", bemerket rapporten.
DarkGates bånd til andehale
DarkGate er bakdør malware i stand til et bredt spekter av ondsinnede aktiviteter, inkludert informasjonsstjeling, kryptojacking og bruk av Skype, Teams og Messages for å distribuere skadelig programvare.
Skadevaren kan stjele en rekke data fra infiserte enheter, inkludert brukernavn, passord, kredittkortnumre og annen sensitiv informasjon og brukes til å utvinne kryptovaluta på infiserte enheter uten brukerens viten eller samtykke.
Den kan brukes til å levere løsepenger til infiserte enheter, kryptere brukerens filer og kreve løsepenger for å dekryptere dem.
WithSecure senior trusselintelligensanalytiker Stephen Robinson forklarer at på et høyt nivå har DarkGate malware-funksjonalitet ikke endret seg siden den første rapporteringen i 2018.
"Det har alltid vært en sveitsisk hærkniv, multifunksjonell skadevare," sier han. "Når det er sagt, har den gjentatte ganger blitt oppdatert og modifisert av forfatteren siden den gang, som vi kan anta har vært for å forbedre implementeringen av disse ondsinnede funksjonene, og for å holde tritt med AV/Malware-deteksjonsvåpenkappløpet."
Han bemerker at DarkGate-kampanjer (og aktørene bak dem) kan differensieres etter hvem de retter seg mot, lokkene og infeksjonsvektorene de bruker, og deres handlinger på målet.
"Den spesifikke vietnamesiske klyngen som rapporten fokuserer på brukte samme målretting, filnavn og til og med lokkefiler for flere kampanjer ved å bruke flere stammer av skadelig programvare," sier Robinson.
De opprettet PDF lokkefiler ved hjelp av en nettjeneste som legger til sine egne metadata til hver fil som opprettes; at metadata ga ytterligere sterke koblinger mellom de ulike kampanjene.
De opprettet også flere ondsinnede LNK-filer på samme enhet og slettet ikke metadataene, noe som gjorde det mulig å gruppere ytterligere aktivitet.
Korrelasjonen mellom DarkGate og Ducktail ble bestemt fra ikke-tekniske markører som lokkefiler, målrettingsmønstre og leveringsmetoder, samlet i en 15-siders rapporterer.
"Ikke-tekniske indikatorer som lokkefiler og metadata er svært effektive rettsmedisinske signaler. Lure-filer, som fungerer som lokkemiddel for å lokke ofre til å utføre skadelig programvare, gir uvurderlig innsikt i en angripers modus operandi, deres potensielle mål og deres utviklende teknikker, forklarer Callie Guenther, seniorleder for cybertrusselforskning ved Critical Start.
På samme måte kan metadata – informasjon som «LNK Drive ID» eller detaljer fra tjenester som Canva – etterlate merkbare spor eller mønstre som kan vedvare på tvers av ulike angrep eller spesifikke aktører.
"Disse konsekvente mønstrene, når de analyseres, kan bygge bro over gapet mellom varierte kampanjer, slik at forskere kan tilskrive dem til en vanlig gjerningsmann, selv om skadevarens tekniske fotavtrykk er forskjellige," sier hun.
Ngoc Bui, cybersikkerhetsekspert ved Menlo Security, sier det er viktig å forstå relasjonene mellom ulike skadevarefamilier knyttet til de samme trusselaktørene.
"Det hjelper med å bygge en mer omfattende trusselprofil og identifisere taktikken og motivasjonen til disse trusselaktørene," sier Bui.
For eksempel, hvis forskere finner forbindelser mellom DarkGate, Ducktail, Lobshot og Redline Stealer, kan de kanskje konkludere med at en enkelt skuespiller eller gruppe er involvert i flere kampanjer, noe som tyder på et høyt sofistikert nivå.
"Det kan også hjelpe analytikere å finne ut om mer enn én trusselgruppe jobber sammen, slik vi ser med løsepengevarekampanjer og innsats," legger Bui til.
MaaS påvirker Cyber-Threat Landscape
Bui påpeker at tilgjengeligheten til DarkGate som en tjeneste har betydelige implikasjoner for cybersikkerhetslandskapet.
"Det senker inngangsbarrieren for aspirerende nettkriminelle som kanskje mangler teknisk ekspertise," forklarer Bui. "Som et resultat kan flere enkeltpersoner eller grupper få tilgang til og distribuere sofistikert skadelig programvare som DarkGate, noe som øker det generelle trusselnivået."
Bui legger til at malware-as-a-service (MaaS)-tilbud gir nettkriminelle en praktisk og kostnadseffektiv måte å utføre angrep på.
For en cybersikkerhetsanalytiker utgjør dette en utfordring fordi de kontinuerlig må tilpasse seg nye trusler og vurdere muligheten for at flere trusselaktører bruker samme skadevaretjeneste.
Det kan også gjøre det litt vanskeligere å spore trusselaktøren som bruker skadelig programvare, ettersom selve skadevaren kan grupperes tilbake til utvikleren og ikke trusselaktøren som bruker skadevaren.
Paradigmeskifte i forsvaret
Guenther sier at for å bedre forstå det moderne, stadig utviklende landskapet med cybertrusler, er et paradigmeskifte i forsvarsstrategier på tide.
"Å omfavne atferdsbaserte deteksjonssekvenser, samt utnytte AI og ML, gjør det mulig å identifisere unormal nettverksatferd, og overgår de tidligere begrensningene for signaturbaserte metoder," sier hun.
Videre kan sammenslåing av trusselintelligens og fremme kommunikasjon om nye trusler og taktikker på tvers av industrivertikaler katalysere tidlig oppdagelse og avbøtende tiltak.
"Vanlige revisjoner, som omfatter nettverkskonfigurasjoner og penetrasjonstester, kan forebyggende avdekke sårbarheter," legger Guenther til. "I tillegg blir en velinformert arbeidsstyrke, trent i å gjenkjenne moderne trusler og phishing-vektorer, en organisasjons første forsvarslinje, noe som reduserer risikokvotienten betydelig."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- : har
- :er
- :ikke
- $OPP
- 2018
- 7
- a
- I stand
- Om oss
- adgang
- tvers
- Handling
- handlinger
- Aktiviteter
- aktivitet
- aktører
- tilpasse
- Legger
- Etter
- mot
- AI
- tillater
- også
- alltid
- an
- analytiker
- analytikere
- analysert
- og
- tilsynelatende
- ER
- armer
- AS
- håper
- anta
- At
- Angrep
- forsøk
- revisjoner
- forfatter
- tilgjengelighet
- tilbake
- agn
- barriere
- BE
- ble
- fordi
- blir
- vært
- atferd
- bak
- være
- Bedre
- mellom
- BRO
- Bygning
- by
- Kampanje
- Kampanjer
- CAN
- stand
- kort
- katalyserer
- utfordre
- endret
- Cluster
- Felles
- Kommunikasjon
- fatte
- omfattende
- konkluderer
- Gjennomføre
- tilkobling
- Tilkoblinger
- samtykke
- Vurder
- konsistent
- moderne
- kontinuerlig
- Praktisk
- Korrelasjon
- kostnadseffektiv
- opprettet
- kreditt
- kredittkort
- kritisk
- cryptocurrency
- Cryptojacking
- cyber
- cybercrime
- nettkriminelle
- Cybersecurity
- dato
- dekryptere
- Forsvar
- leverer
- levering
- krevende
- utplassere
- detaljer
- Gjenkjenning
- Bestem
- bestemmes
- Utvikler
- enhet
- Enheter
- gJORDE
- forskjellig
- differensiert
- vanskelig
- distribuere
- dokumenter
- stasjonen
- hver enkelt
- Tidlig
- innsats
- omfavner
- muliggjør
- altomfattende
- entry
- avgjørende
- Selv
- utvikling
- eksempel
- utførende
- Expert
- ekspertise
- forklarer
- familier
- filet
- Filer
- finansiell
- Finn
- Først
- fokuserer
- Fotspor
- Til
- Rettsmedisinsk
- fostre
- fra
- funksjonalitet
- funksjoner
- videre
- mellomrom
- ga
- Gruppe
- Gruppens
- Ha
- he
- hjelpe
- hjelper
- Høy
- svært
- HTTPS
- ID
- Identifikasjon
- identifisering
- if
- innflytelsesrik
- Konsekvenser
- gjennomføring
- implikasjoner
- forbedre
- in
- Inkludert
- økende
- india
- indikatorer
- individer
- industri
- informasjon
- innledende
- innsikt
- Intelligens
- inn
- uvurderlig
- etterforskning
- involvert
- IT
- DET ER
- selv
- jpg
- Hold
- kunnskap
- maling
- landskap
- Permisjon
- Nivå
- utnytte
- i likhet med
- Sannsynlig
- begrensninger
- linje
- knyttet
- lenker
- lite
- gjøre
- malware
- Malware-as-a-Service (MaaS)
- leder
- Kan..
- midler
- meldinger
- metadata
- metoder
- kunne
- skadebegrensning
- ML
- Moderne
- modifisert
- modus
- mer
- Videre
- motivasjon
- flere
- må
- navn
- nettverk
- Ny
- bemerket
- Merknader
- notorisk
- tall
- of
- tilby
- tilbud
- on
- ONE
- på nett
- åpen
- åpen kildekode
- drift
- or
- organisasjon
- organisasjoner
- Annen
- ut
- samlet
- egen
- paradigmet
- passord
- mønstre
- betaling
- penetration
- phishing
- Pivot
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- positurer
- mulighet
- mulig
- potensiell
- forrige
- Profil
- gi
- Race
- område
- Ransom
- ransomware
- raskt
- ROTTE
- nylig
- gjenkjenne
- redusere
- regelmessig
- Relasjoner
- fjernkontroll
- fjerntilgang
- GJENTATTE GANGER
- rapporterer
- Rapportering
- forskning
- forskere
- resultere
- Risiko
- s
- Sa
- samme
- sier
- sikkerhet
- se
- senior
- sensitive
- tjeneste
- Tjenester
- hun
- skift
- signifikant
- lignende
- siden
- enkelt
- Skype
- sofistikert
- raffinement
- kilde
- spesifikk
- Begynn
- startet
- Stephen
- stammer
- strategier
- sterk
- i det vesentlige
- slik
- foreslår
- overgår
- taktikk
- Target
- rettet mot
- mål
- lag
- Teknisk
- teknikker
- tester
- enn
- Det
- De
- Storbritannia
- deres
- Dem
- deretter
- Disse
- de
- denne
- De
- trussel
- trusselaktører
- trusler
- Gjennom
- Ties
- til
- sammen
- Sporing
- trent
- Trojan
- Uk
- avdekket
- forståelse
- oppdatert
- us
- brukt
- Bruker
- ved hjelp av
- variasjon
- vertikaler
- veldig
- ofre
- vietnamesisk
- Sikkerhetsproblemer
- var
- we
- VI VIL
- var
- når
- hvilken
- HVEM
- bred
- Bred rekkevidde
- tørke
- med
- uten
- arbeidsstyrke
- arbeid
- zephyrnet