Badacze zajmujący się cyberbezpieczeństwem odkryli powiązanie między osławionym trojanem zdalnego dostępu DarkGate (RAT) a wietnamską operacją cyberprzestępczości finansowej stojącą za złodziejem informacji Ducktail.
Badacze WithSecure, którzy zauważył aktywność Ducktail w 2022 rokurozpoczęło dochodzenie w sprawie DarkGate po wykryciu wielu prób infekcji organizacji w Wielkiej Brytanii, USA i Indiach.
„Szybko stało się jasne, że dokumenty dotyczące przynęty i cele były bardzo podobne do ostatnich kampanii złodziei informacji Ducktail i możliwe było przechodzenie przez dane open source z kampanii DarkGate do wielu innych złodziei informacji, które najprawdopodobniej są wykorzystywane przez tego samego aktora/grupę ”- zauważono w raporcie.
Powiązania DarkGate z Ducktail
DarkGate jest złośliwe oprogramowanie typu backdoor zdolny do szerokiego zakresu złośliwych działań, w tym kradzieży informacji, kryptojackingu oraz wykorzystywania Skype'a, Teams i Wiadomości do dystrybucji złośliwego oprogramowania.
Szkodnik może kraść różne dane z zainfekowanych urządzeń, w tym nazwy użytkowników, hasła, numery kart kredytowych i inne poufne informacje, a następnie wykorzystywać je do wydobywania kryptowaluty na zainfekowanych urządzeniach bez wiedzy i zgody użytkownika.
Można go wykorzystać do dostarczania oprogramowania ransomware na zainfekowane urządzenia, szyfrowania plików użytkownika i żądania zapłaty okupu za ich odszyfrowanie.
Starszy analityk ds. analizy zagrożeń w WithSecure, Stephen Robinson, wyjaśnia, że na wysokim poziomie funkcjonalność złośliwego oprogramowania DarkGate nie uległa zmianie od czasu pierwszego raportu w 2018 r.
„To zawsze był szwajcarski scyzoryk, wielofunkcyjne złośliwe oprogramowanie” – mówi. „To powiedziawszy, od tego czasu autor był wielokrotnie aktualizowany i modyfikowany, co, jak możemy założyć, miało na celu usprawnienie implementacji tych złośliwych funkcji i nadążanie za wyścigiem zbrojeń w zakresie wykrywania AV/złośliwego oprogramowania”.
Zauważa, że kampanie DarkGate (i stojących za nimi aktorów) można różnicować na podstawie tego, do kogo są skierowane, używanych przynęt i wektorów infekcji oraz ich działań na celu.
„Konkretny klaster wietnamski, na którym skupia się raport, stosował te same metody kierowania, nazwy plików, a nawet wabił pliki do wielu kampanii wykorzystujących wiele odmian złośliwego oprogramowania” – mówi Robinson.
Stworzyli pliki PDF z przynętą, korzystając z usługi online, która dodaje własne metadane do każdego utworzonego pliku; metadane te zapewniły dalsze silne powiązania między różnymi kampaniami.
Utworzyli także wiele złośliwych plików LNK na tym samym urządzeniu i nie wyczyścili metadanych, umożliwiając grupowanie dalszych działań.
Korelację pomiędzy DarkGate i Ducktail określono na podstawie nietechnicznych znaczników, takich jak pliki przynęt, wzorce celowania i metody podawania, zebranych w 15-stronicowym podręczniku. raport.
„Wskaźniki nietechniczne, takie jak pliki przynęt i metadane, są bardzo wpływowymi wskazówkami kryminalistycznymi. Pliki przynęty, które działają jak przynęta mająca nakłonić ofiary do uruchomienia szkodliwego oprogramowania, oferują bezcenny wgląd w sposób działania atakującego, jego potencjalne cele i ewoluujące techniki” – wyjaśnia Callie Guenther, starszy menedżer ds. badań zagrożeń cybernetycznych w Critical Start.
Podobnie metadane — informacje takie jak „Identyfikator dysku LNK” lub szczegóły z usług takich jak Canva — mogą pozostawiać zauważalne ślady lub wzorce, które mogą utrzymywać się w przypadku różnych ataków lub określonych aktorów.
„Po przeanalizowaniu tych spójnych wzorców można wypełnić lukę między różnymi kampaniami, umożliwiając badaczom przypisanie ich wspólnemu sprawcy, nawet jeśli ślad techniczny szkodliwego oprogramowania jest różny” – mówi.
Ngoc Bui, ekspert ds. cyberbezpieczeństwa w Menlo Security, twierdzi, że zrozumienie powiązań między różnymi rodzinami złośliwego oprogramowania powiązanymi z tymi samymi podmiotami zagrażającymi jest niezbędne.
„Pomaga w budowaniu bardziej kompleksowego profilu zagrożeń oraz identyfikowaniu taktyki i motywacji tych aktorów zagrażających” – mówi Bui.
Na przykład, jeśli badacze znajdą powiązania między DarkGate, Ducktail, Lobshot i Redline Stealer, mogą dojść do wniosku, że pojedynczy aktor lub grupa jest zaangażowana w wiele kampanii, co sugeruje wysoki poziom wyrafinowania.
„Może to również pomóc analitykom w ustaleniu, czy współpracuje więcej niż jedna grupa zagrożeń, jak widać w przypadku kampanii i wysiłków związanych z oprogramowaniem ransomware” – dodaje Bui.
MaaS wpływa na krajobraz zagrożeń cybernetycznych
Bui wskazuje, że dostępność DarkGate jako usługi ma znaczące konsekwencje dla krajobrazu cyberbezpieczeństwa.
„Obniża barierę wejścia dla aspirujących cyberprzestępców, którym może brakować wiedzy technicznej” – wyjaśnia Bui. „W rezultacie więcej osób lub grup może uzyskać dostęp do wyrafinowanego złośliwego oprogramowania, takiego jak DarkGate, i wdrożyć je, zwiększając ogólny poziom zagrożenia”.
Bui dodaje, że oferty złośliwego oprogramowania jako usługi (MaaS) zapewniają cyberprzestępcom wygodny i opłacalny sposób przeprowadzania ataków.
Dla analityka cyberbezpieczeństwa stanowi to wyzwanie, ponieważ musi on stale dostosowywać się do nowych zagrożeń i brać pod uwagę możliwość, że wielu aktorów zagrażających korzysta z tej samej usługi szkodliwego oprogramowania.
Może to również nieco utrudnić śledzenie ugrupowania zagrażającego wykorzystującego złośliwe oprogramowanie, ponieważ samo złośliwe oprogramowanie może skupiać się wokół dewelopera, a nie ugrupowania zagrażającego korzystającego ze złośliwego oprogramowania.
Zmiana paradygmatu w obronie
Guenther twierdzi, że aby lepiej zrozumieć współczesny, stale ewoluujący krajobraz cyberzagrożeń, spóźniona jest zmiana paradygmatu w strategiach obrony.
„Wykorzystanie sekwencji wykrywania opartych na zachowaniu, a także wykorzystanie sztucznej inteligencji i uczenia maszynowego pozwala na identyfikację nietypowych zachowań sieciowych, przekraczając dotychczasowe ograniczenia metod opartych na sygnaturach” – mówi.
Co więcej, gromadzenie informacji o zagrożeniach i wspieranie komunikacji na temat pojawiających się zagrożeń i taktyk w różnych branżach może przyspieszyć wczesne wykrywanie i łagodzenie skutków.
„Regularne audyty obejmujące konfiguracje sieci i testy penetracyjne mogą zapobiegawczo wykrywać luki w zabezpieczeniach” – dodaje Guenther. „Co więcej, dobrze poinformowani pracownicy, przeszkoleni w rozpoznawaniu współczesnych zagrożeń i wektorów phishingu, stają się pierwszą linią obrony organizacji, znacznie zmniejszając współczynnik ryzyka”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 2018
- 7
- a
- Zdolny
- O nas
- dostęp
- w poprzek
- działać
- działania
- zajęcia
- działalność
- aktorzy
- przystosować
- Dodaje
- Po
- przed
- AI
- pozwala
- również
- zawsze
- an
- analityk
- analitycy
- analizowane
- i
- pozorny
- SĄ
- Ramiona
- AS
- ambitny
- założyć
- At
- Ataki
- Próby
- kontrole
- autor
- dostępność
- z powrotem
- przynęta
- bariera
- BE
- stał
- bo
- staje się
- być
- zachowania
- za
- jest
- Ulepsz Swój
- pomiędzy
- BRIDGE
- Budowanie
- by
- Kampania
- Kampanie
- CAN
- zdolny
- karta
- katalizować
- wyzwanie
- zmieniony
- Grupa
- wspólny
- Komunikacja
- zrozumieć
- wszechstronny
- stwierdza,
- Prowadzenie
- połączenie
- połączenia
- zgoda
- Rozważać
- zgodny
- współczesny
- nieustannie
- Wygodny
- Korelacja
- opłacalne
- stworzony
- kredyt
- Karta kredytowa
- krytyczny
- kryptowaluta
- Cryptojacking
- cyber
- cyberprzestępczość
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- dane
- Odszyfruj
- Obrona
- dostarczyć
- dostawa
- wymagający
- rozwijać
- detale
- Wykrywanie
- Ustalać
- ustalona
- Deweloper
- urządzenie
- urządzenia
- ZROBIŁ
- różne
- zróżnicowany
- trudny
- rozprowadzać
- dokumenty
- napęd
- każdy
- Wcześnie
- starania
- ogarnięcie
- umożliwiając
- obejmujący
- wejście
- niezbędny
- Parzyste
- ewoluuje
- przykład
- wykonywania
- ekspert
- ekspertyza
- Objaśnia
- rodzin
- filet
- Akta
- budżetowy
- Znajdź
- i terminów, a
- koncentruje
- Ślad stopy
- W razie zamówieenia projektu
- Kryminalistyka
- wychowanie
- od
- Funkcjonalność
- Funkcje
- dalej
- szczelina
- dał
- Zarządzanie
- Grupy
- Have
- he
- pomoc
- pomaga
- Wysoki
- wysoko
- HTTPS
- ID
- Identyfikacja
- identyfikacja
- if
- wpływowy
- Oddziaływania
- realizacja
- implikacje
- podnieść
- in
- Włącznie z
- wzrastający
- Indie
- wskaźniki
- osób
- przemysł
- Informacja
- początkowy
- spostrzeżenia
- Inteligencja
- najnowszych
- nieoceniony
- śledztwo
- zaangażowany
- IT
- JEGO
- samo
- jpg
- Trzymać
- wiedza
- Brak
- krajobraz
- Pozostawiać
- poziom
- lewarowanie
- lubić
- Prawdopodobnie
- Ograniczenia
- Linia
- powiązany
- linki
- mało
- robić
- malware
- Malware jako usługa (MaaS)
- kierownik
- Może..
- znaczy
- wiadomości
- Metadane
- metody
- może
- łagodzenie
- ML
- Nowoczesne technologie
- zmodyfikowano
- modus
- jeszcze
- Ponadto
- motywacje
- wielokrotność
- musi
- Nazwy
- sieć
- Nowości
- zauważyć
- Uwagi
- notoryczny
- z naszej
- of
- oferta
- Oferty
- on
- ONE
- Online
- koncepcja
- open source
- działanie
- or
- organizacja
- organizacji
- Inne
- na zewnątrz
- ogólny
- własny
- paradygmat
- hasła
- wzory
- płatność
- penetracja
- phishing
- Pivot
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- stwarza
- możliwość
- możliwy
- potencjał
- poprzedni
- Profil
- zapewniać
- Wyścig
- zasięg
- Okup
- ransomware
- szybko
- SZCZUR
- niedawny
- rozpoznawanie
- redukcja
- regularny
- Relacje
- zdalny
- zdalny dostęp
- WIELOKROTNIE
- raport
- Raportowanie
- Badania naukowe
- Badacze
- dalsze
- Ryzyko
- s
- Powiedział
- taki sam
- mówią
- bezpieczeństwo
- widzieć
- senior
- wrażliwy
- usługa
- Usługi
- ona
- przesunięcie
- znaczący
- podobny
- ponieważ
- pojedynczy
- Skype
- wyrafinowany
- sofistyka
- Źródło
- specyficzny
- początek
- rozpoczęty
- Stephen
- Odmiany Konopi
- strategie
- silny
- w zasadzie
- taki
- Wskazuje
- niezrównany
- taktyka
- cel
- kierowania
- cele
- Zespoły
- Techniczny
- Techniki
- Testy
- niż
- że
- Połączenia
- UK
- ich
- Im
- następnie
- Te
- one
- to
- tych
- groźba
- podmioty grożące
- zagrożenia
- Przez
- Krawaty
- do
- razem
- Śledzenie
- przeszkolony
- trojański
- Uk
- odkryte
- zrozumienie
- zaktualizowane
- us
- używany
- Użytkownik
- za pomocą
- różnorodność
- pionowe
- początku.
- Ofiary
- wietnamski
- Luki w zabezpieczeniach
- była
- we
- DOBRZE
- były
- jeśli chodzi o komunikację i motywację
- który
- KIM
- szeroki
- Szeroki zasięg
- Przetrzyj
- w
- bez
- Siła robocza
- pracujący
- zefirnet