Badacze zajmujący się bezpieczeństwem zauważyli niedawny wzrost liczby ataków z udziałem nowego, wyrafinowanego wariantu Jupytera – narzędzia do kradzieży informacji, którego celem są użytkownicy przeglądarek Chrome, Edge i Firefox co najmniej od 2020 roku.
Szkodnik ten, określany również jako Yellow Cockatoo, Solarmarker i Polazert, może otwierać drzwi do komputerów i zbierać różne informacje uwierzytelniające, w tym nazwę komputera, uprawnienia administratora użytkownika, pliki cookie, dane internetowe, informacje o menedżerze haseł przeglądarki i inne wrażliwe dane z systemy ofiar — takie jak loginy do portfeli kryptowalut i aplikacji do zdalnego dostępu.
Trwałe zagrożenie cybernetyczne polegające na kradzieży danych
Badacze z usługi Carbon Black firmy VMware zarządzali ostatnio usługą wykrywania i reagowania (MDR). zauważyłem nową wersję złośliwego oprogramowania wykorzystującego modyfikacje poleceń PowerShell i legalnie wyglądające, podpisane cyfrowo ładunki, infekujące stale rosnącą liczbę systemów od końca października.
„Niedawne infekcje Jupyter wykorzystują wiele certyfikatów do podpisywania złośliwego oprogramowania, co z kolei może pozwolić na zaufanie złośliwemu plikowi, zapewniając początkowy dostęp do maszyny ofiary” – poinformowało w tym tygodniu VMware na swoim blogu poświęconym bezpieczeństwu. „Wydaje się, że te modyfikacje zwiększają możliwości unikania [Jupytera], dzięki czemu pozostaje on niezauważalny”.
Morfisek i BlackBerry — dwóch innych dostawców, którzy wcześniej śledzili Jupytera — zidentyfikowało to szkodliwe oprogramowanie jako pełnoprawnego backdoora. Opisali jego możliwości jako obejmujące obsługę komunikacji dowodzenia i kontroli (C2), działanie jako dropper i moduł ładujący dla innego złośliwego oprogramowania, drążenie kodu powłoki w celu uniknięcia wykrycia oraz wykonywanie skryptów i poleceń PowerShell.
BlackBerry zgłosił, że Jupyter celuje również w kryptowaluty, takie jak Ethereum Wallet, MyMonero Wallet i Atomic Wallet, oprócz uzyskiwania dostępu do OpenVPN, protokołu Remote Desktop Protocol i innych aplikacji zdalnego dostępu.
Operatorzy złośliwego oprogramowania stosowali różne techniki jego dystrybucji, w tym przekierowania wyszukiwarek do złośliwych witryn internetowych, pobieranie plików typu „drive-by”, phishing i zatruwanie SEO – lub złośliwe manipulowanie wynikami wyszukiwania w celu dostarczenia złośliwego oprogramowania.
Jupyter: obejście wykrywania złośliwego oprogramowania
W ostatnich atakach osoba stojąca za zagrożeniem stojąca za Jupyterem używała ważnych certyfikatów do cyfrowego podpisywania złośliwego oprogramowania, tak aby narzędzia do wykrywania złośliwego oprogramowania wydawały się uzasadnione. Pliki mają nazwy mające na celu nakłonienie użytkowników do ich otwarcia, np. „An-przewodnik-pracodawców-do-kontynuacji-zdrowia grupy.exe"I"Jak-dokonać-edycji-w-dokumencie-word-permanent.exe".
Badacze z firmy VMware zaobserwowali, jak szkodliwe oprogramowanie tworzy wiele połączeń sieciowych z serwerem C2 w celu odszyfrowania ładunku złodzieja informacji i załadowania go do pamięci niemal natychmiast po wylądowaniu w systemie ofiary.
„Infekcje Jupyter, atakując przeglądarki Chrome, Edge i Firefox, wykorzystują zatruwanie SEO i przekierowania wyszukiwarek, aby zachęcić do pobierania złośliwych plików, które stanowią początkowy wektor ataku w łańcuchu ataków” – wynika z raportu VMware. „Szkodliwe oprogramowanie wykazało możliwości gromadzenia danych uwierzytelniających i szyfrowanej komunikacji C2 wykorzystywanej do wydobywania wrażliwych danych”.
Niepokojący wzrost liczby złodziei informacji
Według dostawcy Jupyter znajduje się na liście 10 najczęstszych infekcji wykrywanych przez VMware w sieciach klienckich w ostatnich latach. Jest to zgodne z tym, co inni donosili na temat a gwałtowny i niepokojący wzrost w korzystaniu z kradzieży informacji po przejściu na dużą skalę w wielu organizacjach na pracę zdalną po rozpoczęciu pandemii Covid-19.
Czerwony Kanarekna przykład podało, że w 10 r. złodzieje informacji, tacy jak RedLine, Racoon i Vidar, wielokrotnie trafiali na listy 2022 najlepszych. Najczęściej złośliwe oprogramowanie pojawiało się w postaci fałszywych lub zatrutych plików instalacyjnych legalnego oprogramowania za pośrednictwem złośliwych reklam lub manipulacji SEO. Firma odkryła, że osoby atakujące wykorzystywały to złośliwe oprogramowanie głównie do prób gromadzenia danych uwierzytelniających od pracowników zdalnych, co umożliwiało szybki, trwały i uprzywilejowany dostęp do sieci i systemów korporacyjnych.
„Żadna branża nie jest odporna na kradnące złośliwe oprogramowanie, a rozprzestrzenianie się takiego złośliwego oprogramowania jest często oportunistyczne, zwykle poprzez reklamy i manipulacje SEO” – stwierdzili badacze z Red Canary.
Firma Uptycs zgłosiła, że: podobny i niepokojący wzrost w dystrybucji infostealerów na początku tego roku. Dane monitorowane przez firmę wykazały, że liczba incydentów, w których osoba atakująca wykorzystała narzędzie kradnące informacje, wzrosła ponad dwukrotnie w pierwszym kwartale 2023 r. w porównaniu z tym samym okresem ubiegłego roku. Dostawca zabezpieczeń wykrył ugrupowania zagrażające wykorzystujące złośliwe oprogramowanie do kradzieży nazw użytkowników i haseł, informacji o przeglądarce, takich jak profile i informacje o autouzupełnianiu, informacji o kartach kredytowych, informacji o portfelu kryptowalut oraz informacji o systemie. Według Uptycs nowsze złodzieje informacji, takie jak Rhadamanthys, mogą również w szczególności kraść logi z aplikacji do uwierzytelniania wielopoziomowego. Logi zawierające skradzione dane są następnie sprzedawane na forach przestępczych, gdzie istnieje na nie duży popyt.
„Eksfiltracja skradzionych danych ma niebezpieczny wpływ na organizacje lub pojedynczych osób, ponieważ można go łatwo sprzedać w ciemnej sieci jako początkowy punkt dostępu dla innych podmiotów zagrażających” – ostrzegają badacze Uptycs.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :ma
- :Jest
- :Gdzie
- 10
- 2020
- 2022
- 2023
- 7
- a
- O nas
- dostęp
- Dostęp
- Stosownie
- gra aktorska
- aktorzy
- dodatek
- Admin
- Reklama
- Po
- dopuszczać
- Pozwalać
- prawie
- również
- wśród
- an
- i
- pojawia się
- aplikacje
- mobilne i webowe
- SĄ
- na około
- przybył
- AS
- At
- atakować
- Ataki
- Uwierzytelnianie
- tylne drzwi
- BE
- być
- rozpoczął
- za
- Czarny
- Blog
- przeglądarka
- przeglądarki
- Kampania
- CAN
- możliwości
- zdolny
- węgiel
- karta
- certyfikaty
- łańcuch
- Chrom
- klient
- kod
- Komunikacja
- Komunikacja
- sukcesy firma
- w porównaniu
- komputer
- o
- połączenia
- zgodny
- kontrola
- cookies
- COVID-19
- Pandemia COVID-19
- POŚWIADCZENIE
- Listy uwierzytelniające
- kredyt
- Karta kredytowa
- Karny
- cyber
- Niebezpieczny
- Ciemny
- Mroczny WWW
- dane
- Odszyfruj
- dostarczyć
- Kreowanie
- wykazać
- wdrażane
- opisane
- zaprojektowany
- stacjonarny
- wykryte
- Wykrywanie
- cyfrowo
- rozprowadzać
- 分配
- podwojenie
- pliki do pobrania
- Wcześniej
- z łatwością
- krawędź
- włączony
- zachęcać
- szyfrowane
- silnik
- wzmacniać
- Enterprise
- ethereum
- Portfel Ethereum
- uchylanie się
- wykonywania
- eksfiltracja
- imitacja
- filet
- Akta
- Firefox
- i terminów, a
- następujący
- W razie zamówieenia projektu
- Forum
- znaleziono
- częsty
- od
- pełnoprawny
- funkcjonowanie
- zbierać
- miejsce
- udzielony
- żniwa
- Żniwny
- Have
- ciężki
- HTML
- HTTPS
- zidentyfikowane
- natychmiast
- Rezultat
- in
- Włącznie z
- Zwiększać
- osób
- przemysł
- Infekcje
- Informacje
- Informacja
- początkowy
- przykład
- najnowszych
- z udziałem
- IT
- JEGO
- jpg
- lądowanie
- na dużą skalę
- Nazwisko
- Ostatni rok
- Późno
- najmniej
- prawowity
- lewarowanie
- wykazy
- załadować
- ładowarka
- maszyna
- maszyny
- zrobiony
- głównie
- Dokonywanie
- malware
- wykrywanie złośliwego oprogramowania
- zarządzane
- kierownik
- manipulowanie
- Manipulacja
- wiele
- MDR
- Pamięć
- Modyfikacje
- jeszcze
- większość
- uwierzytelnianie wieloczynnikowe
- wielokrotność
- Nazwa
- Nazwy
- sieć
- sieci
- Nowości
- Nie
- numer
- październik
- of
- często
- on
- otwarcie
- operatorzy
- or
- organizacji
- Inne
- Pozostałe
- pandemiczny
- Hasło
- Password Manager
- hasła
- okres
- phishing
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- PowerShell
- poprzednio
- uprzywilejowany
- przywileje
- profile
- protokół
- że
- Kwartał
- Szybki
- szop
- niedawny
- niedawno
- Czerwony
- , o którym mowa
- pozostawać
- zdalny
- zdalny dostęp
- remote work
- zdalni pracownicy
- raport
- Zgłoszone
- Badacze
- odpowiedź
- Efekt
- podniesienie
- s
- Powiedział
- taki sam
- skrypty
- Szukaj
- Wyszukiwarka
- bezpieczeństwo
- wydać się
- wrażliwy
- seo
- serwer
- usługa
- Powłoka
- przesunięcie
- pokazał
- znak
- podpisana
- ponieważ
- So
- Tworzenie
- sprzedany
- wyrafinowany
- swoiście
- rozpiętość
- stale
- skradziony
- taki
- wsparcie
- system
- systemy
- kierowania
- Techniki
- niż
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- Te
- one
- to
- w tym tygodniu
- w tym roku
- groźba
- podmioty grożące
- Przez
- czasy
- tytuły
- do
- narzędzia
- Top
- Top 10
- niepokojące
- Zaufaj
- próbować
- SKRĘCAĆ
- drugiej
- na
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- zazwyczaj
- wykorzystać
- ważny
- Wariant
- różnorodność
- sprzedawca
- sprzedawców
- przez
- Ofiara
- vmware
- Portfel
- sieć
- strony internetowe
- tydzień
- Co
- który
- w
- Praca
- pracowników
- rok
- lat
- zefirnet
