Cercetătorii în domeniul securității cibernetice au descoperit o legătură între notoriul troian de acces la distanță DarkGate (RAT) și operațiunea de criminalitate cibernetică financiară din Vietnam din spatele infostealer-ului Ducktail.
Cercetătorii WithSecure, care a observat activitatea lui Ducktail în 2022, și-au început investigația asupra DarkGate după ce au detectat mai multe încercări de infectare împotriva organizațiilor din Marea Britanie, SUA și India.
„A devenit rapid evident că documentele de ademenire și direcționarea erau foarte asemănătoare cu campaniile recente de furt de informații Ducktail și a fost posibil să trecem prin datele open source din campania DarkGate la mai mulți alți furați de informații care sunt foarte probabil să fie utilizați de același actor/grup. ”, se menționează raportul.
Legăturile lui DarkGate cu Ducktail
DarkGate este malware din spate capabil de o gamă largă de activități rău intenționate, inclusiv furtul de informații, criptojacking și utilizarea Skype, Teams și Messages pentru a distribui malware.
Programul malware poate fura o varietate de date de pe dispozitivele infectate, inclusiv nume de utilizator, parole, numere de card de credit și alte informații sensibile și poate fi folosit pentru a extrage criptomonede pe dispozitive infectate fără știrea sau consimțământul utilizatorului.
Poate fi folosit pentru a furniza ransomware dispozitivelor infectate, criptând fișierele utilizatorului și solicitând o plată de răscumpărare pentru a le decripta.
Stephen Robinson, analist senior de informații privind amenințările WithSecure, explică că, la un nivel înalt, funcționalitatea malware-ului DarkGate nu s-a schimbat de la raportarea inițială din 2018.
„Întotdeauna a fost un cuțit elvețian, un malware multifuncțional”, spune el. „Aceasta fiind spuse, a fost actualizat și modificat în mod repetat de către autor de atunci, ceea ce putem presupune că a fost pentru a îmbunătăți implementarea acelor funcții rău intenționate și pentru a ține pasul cu cursa înarmărilor de detectare AV/Malware.”
El observă că campaniile DarkGate (și actorii din spatele lor) pot fi diferențiate în funcție de cine vizează, de momelile și vectorii de infecție pe care îi folosesc și de acțiunile lor asupra țintei.
„Clusterul specific vietnamez pe care se concentrează raportul a folosit aceeași direcționare, nume de fișiere și chiar fișiere de ademenire pentru mai multe campanii folosind mai multe tipuri de malware”, spune Robinson.
Ei au creat fișiere PDF cu momeală folosind un serviciu online care adaugă propriile metadate la fiecare fișier creat; metadatele au oferit și alte legături puternice între diferitele campanii.
De asemenea, au creat mai multe fișiere LNK rău intenționate pe același dispozitiv și nu au șters metadatele, permițând gruparea activităților ulterioare.
Corelația dintre DarkGate și Ducktail a fost determinată din markeri netehnici, cum ar fi fișierele cu momeală, modelele de direcționare și metodele de livrare, adunate într-un format de 15 pagini. raportează.
„Indicatorii netehnici, cum ar fi fișierele cu momeală și metadatele, sunt indicii criminalistice de mare impact. Fișierele Lure, care acționează ca momeală pentru a atrage victimele să execute malware, oferă informații de neprețuit asupra modus operandi al atacatorului, țintele potențiale și tehnicile lor în evoluție”, explică Callie Guenther, senior manager de cercetare a amenințărilor cibernetice la Critical Start.
În mod similar, metadatele – informații precum „LNK Drive ID” sau detalii de la servicii precum Canva – pot lăsa urme sau modele vizibile care ar putea persista în diferite atacuri sau actori specifici.
„Aceste modele consistente, atunci când sunt analizate, pot reduce decalajul dintre diverse campanii, permițând cercetătorilor să le atribuie unui autor comun, chiar dacă amprenta tehnică a malware-ului diferă”, spune ea.
Ngoc Bui, expert în securitate cibernetică la Menlo Security, spune că înțelegerea relațiilor dintre diferitele familii de malware legate de aceiași actori amenințărilor este esențială.
„Ajută la construirea unui profil de amenințare mai cuprinzător și la identificarea tacticilor și motivațiilor acestor actori amenințări”, spune Bui.
De exemplu, dacă cercetătorii găsesc conexiuni între DarkGate, Ducktail, Lobshot și Redline Stealer, ei pot ajunge la concluzia că un singur actor sau grup este implicat în mai multe campanii, ceea ce sugerează un nivel ridicat de sofisticare.
„De asemenea, poate ajuta analiștii să stabilească dacă mai mult de un grup de amenințări lucrează împreună, așa cum vedem cu campaniile și eforturile de ransomware”, adaugă Bui.
MaaS impactează peisajul amenințărilor cibernetice
Bui subliniază că disponibilitatea DarkGate ca serviciu are implicații semnificative pentru peisajul securității cibernetice.
„Scade bariera de intrare pentru infractorii cibernetici aspiranți, care ar putea să nu aibă experiență tehnică”, explică Bui. „Ca urmare, mai multe persoane sau grupuri pot accesa și implementa programe malware sofisticate precum DarkGate, crescând nivelul general de amenințare.”
Bui adaugă că ofertele de malware-as-a-service (MaaS) oferă infractorilor cibernetici un mijloc convenabil și rentabil de a conduce atacuri.
Pentru un analist de securitate cibernetică, acest lucru reprezintă o provocare, deoarece trebuie să se adapteze continuu la noile amenințări și să ia în considerare posibilitatea ca mai mulți actori ai amenințărilor să utilizeze același serviciu malware.
De asemenea, poate face urmărirea actorului amenințării care utilizează malware-ul puțin mai dificilă, deoarece malware-ul însuși se poate grupa înapoi la dezvoltator și nu la actorul amenințării care utilizează malware.
Schimbare de paradigmă în apărare
Guenther spune că pentru a înțelege mai bine peisajul modern, în continuă evoluție a amenințărilor cibernetice, o schimbare de paradigmă în strategiile de apărare este de așteptat.
„Acceptarea secvențelor de detectare bazate pe comportament, precum și utilizarea AI și ML, permite identificarea comportamentelor anormale ale rețelei, depășind limitările anterioare ale metodelor bazate pe semnături”, spune ea.
În plus, punerea în comun a informațiilor despre amenințări și încurajarea comunicării despre amenințările și tacticile emergente pe verticalele industriei pot cataliza detectarea timpurie și atenuarea.
„Auditurile regulate, care includ configurațiile de rețea și testele de penetrare, pot descoperi vulnerabilități preventiv”, adaugă Guenther. „Mai mult, o forță de muncă bine informată, instruită în recunoașterea amenințărilor contemporane și a vectorilor de phishing, devine prima linie de apărare a unei organizații, reducând substanțial coeficientul de risc.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :are
- :este
- :nu
- $UP
- 2018
- 7
- a
- Capabil
- Despre Noi
- acces
- peste
- act
- acțiuni
- activităţi de
- activitate
- actori
- adapta
- Adaugă
- După
- împotriva
- AI
- permite
- de asemenea
- mereu
- an
- analist
- analiști
- analizate
- și
- aparent
- SUNT
- arme
- AS
- aspirant
- asuma
- At
- Atacuri
- Încercările
- audituri
- autor
- disponibilitate
- înapoi
- momeală
- barieră
- BE
- a devenit
- deoarece
- devine
- fost
- comportamente
- în spatele
- fiind
- Mai bine
- între
- POD
- Clădire
- by
- Campanie
- Campanii
- CAN
- capabil
- card
- cataliza
- contesta
- si-a schimbat hainele;
- Grup
- Comun
- Comunicare
- înţelege
- cuprinzător
- încheia
- Conduce
- conexiune
- Conexiuni
- consimţământ
- Lua în considerare
- consistent
- contemporan
- continuu
- Convenabil
- Corelație
- cost-eficiente
- a creat
- credit
- card de credit
- critic
- cryptocurrency
- Cryptojacking
- Cyber
- criminalităţii cibernetice
- cybercriminals
- Securitate cibernetică
- de date
- decriptaţi
- Apărare
- livra
- livrare
- cerând
- implementa
- detalii
- Detectare
- Determina
- determinat
- Dezvoltator
- dispozitiv
- Dispozitive
- FĂCUT
- diferit
- diferențiat
- dificil
- distribui
- documente
- conduce
- fiecare
- Devreme
- Eforturile
- îmbrățișare
- permițând
- care să cuprindă
- intrare
- esenţial
- Chiar
- evoluție
- exemplu
- executând
- expert
- expertiză
- explică
- familii
- Fișier
- Fişiere
- financiar
- Găsi
- First
- se concentrează
- urmă
- Pentru
- juridic
- promovarea
- din
- funcționalitate
- funcții
- mai mult
- decalaj
- a dat
- grup
- Grupului
- Avea
- he
- ajutor
- ajută
- Înalt
- extrem de
- HTTPS
- ID
- Identificare
- identificarea
- if
- impactant
- Impacturi
- implementarea
- implicații
- îmbunătăţi
- in
- Inclusiv
- crescând
- India
- Indicatorii
- persoane fizice
- industrie
- informații
- inițială
- perspective
- Inteligență
- în
- neprețuit
- investigaţie
- implicat
- IT
- ESTE
- în sine
- jpg
- A pastra
- cunoştinţe
- lipsă
- peisaj
- Părăsi
- Nivel
- efectului de pârghie
- ca
- Probabil
- limitări
- Linie
- legate de
- Link-uri
- mic
- face
- malware
- Malware-as-a-Service (MaaS)
- manager
- Mai..
- mijloace
- mesaje
- Metadata
- Metode
- ar putea
- atenuare
- ML
- Modern
- modificată
- modus
- mai mult
- În plus
- motivații
- multiplu
- trebuie sa
- nume
- reţea
- Nou
- notat
- notițe
- notoriu
- numere
- of
- oferi
- ofertele
- on
- ONE
- on-line
- deschide
- open-source
- operaţie
- or
- organizație
- organizații
- Altele
- afară
- global
- propriu
- paradigmă
- Parolele
- modele
- plată
- pătrundere
- Phishing
- Pivot
- Plato
- Informații despre date Platon
- PlatoData
- puncte
- ridică
- posibilitate
- posibil
- potenţial
- precedent
- Profil
- furniza
- Rasă
- gamă
- Răscumpărare
- Ransomware
- repede
- ŞOBOLAN
- recent
- recunoscând
- reducerea
- regulat
- Relaţii
- la distanta
- acces de la distanță
- REPETAT
- raportează
- Raportarea
- cercetare
- cercetători
- rezultat
- Risc
- s
- Said
- acelaşi
- spune
- securitate
- vedea
- senior
- sensibil
- serviciu
- Servicii
- ea
- schimbare
- semnificativ
- asemănător
- întrucât
- singur
- Skype
- sofisticat
- rafinament
- Sursă
- specific
- Începe
- început
- Stephen
- tulpinile
- strategii
- puternic
- substanţial
- astfel de
- sugerează
- depășind
- tactică
- Ţintă
- direcționare
- obiective
- echipe
- Tehnic
- tehnici de
- teste
- decât
- acea
- Marea Britanie
- lor
- Lor
- apoi
- Acestea
- ei
- acest
- aceste
- amenințare
- actori amenințători
- amenințări
- Prin
- Legături
- la
- împreună
- Urmărire
- dresat
- troian
- Uk
- neacoperit
- înţelegere
- actualizat
- us
- utilizat
- Utilizator
- folosind
- varietate
- verticalele
- foarte
- victime
- vietnamese
- Vulnerabilitățile
- a fost
- we
- BINE
- au fost
- cand
- care
- OMS
- larg
- Gamă largă
- sterge
- cu
- fără
- Forta de munca
- de lucru
- zephyrnet