Исследователи кибербезопасности обнаружили связь между пресловутым трояном удаленного доступа DarkGate (RAT) и базирующейся во Вьетнаме операцией по борьбе с финансовыми киберпреступлениями, стоящей за информационным похитителем Ducktail.
Исследователи WithSecure, которые заметил активность Ducktail в 2022 году, начали расследование в отношении DarkGate после обнаружения многочисленных попыток заражения организаций в Великобритании, США и Индии.
«Быстро стало очевидно, что документы-приманки и таргетинг очень похожи на недавние кампании по краже информации Ducktail, и можно было использовать данные из открытых источников из кампании DarkGate для множества других информационных воров, которые, скорее всего, используются одним и тем же субъектом/группой. ", - отмечается в сообщении.
Связи DarkGate с Ducktail
ДаркГейт - это бэкдор вредоносное ПО способен осуществлять широкий спектр вредоносных действий, включая кражу информации, криптоджекинг и использование Skype, Teams и Messages для распространения вредоносного ПО.
Вредоносное ПО может похищать различные данные с зараженных устройств, включая имена пользователей, пароли, номера кредитных карт и другую конфиденциальную информацию, и использоваться для майнинга криптовалюты на зараженных устройствах без ведома или согласия пользователя.
Его можно использовать для доставки программ-вымогателей на зараженные устройства, шифруя файлы пользователя и требуя выкуп за их расшифровку.
Старший аналитик по анализу угроз WithSecure Стивен Робинсон объясняет, что на высоком уровне функциональность вредоносного ПО DarkGate не изменилась с момента первоначального отчета в 2018 году.
«Это всегда был швейцарский нож, многофункциональное вредоносное ПО», — говорит он. «Тем не менее, с тех пор автор неоднократно обновлял и модифицировал его, что, как мы можем предположить, было сделано для улучшения реализации этих вредоносных функций и для того, чтобы не отставать от гонки вооружений по обнаружению AV/Malware».
Он отмечает, что кампании DarkGate (и стоящие за ними действующие лица) можно различать по тому, на кого они нацелены, по приманкам и векторам заражения, которые они используют, а также по их действиям на цель.
«Конкретный вьетнамский кластер, которому посвящен отчет, использовал один и тот же таргетинг, имена файлов и даже файлы-приманки для нескольких кампаний с использованием нескольких штаммов вредоносного ПО», — говорит Робинсон.
Они создали PDF-файлы Lure с помощью онлайн-сервиса, который добавляет собственные метаданные к каждому созданному файлу; эти метаданные обеспечили дальнейшую прочную связь между различными кампаниями.
Они также создали несколько вредоносных файлов LNK на одном устройстве и не удалили метаданные, что позволило кластеризовать дальнейшую активность.
Корреляция между DarkGate и Ducktail была определена на основе нетехнических маркеров, таких как файлы приманок, шаблоны таргетинга и методы доставки, собранные в 15-страничном документе. отчету.
«Нетехнические индикаторы, такие как файлы-приманки и метаданные, являются очень эффективными криминалистическими сигналами. Файлы-приманки, которые действуют как приманка, побуждающая жертв запустить вредоносное ПО, дают бесценную информацию о методах действий злоумышленников, их потенциальных целях и развивающихся методах», — объясняет Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start.
Аналогично, метаданные — такая информация, как «LNK Drive ID» или данные из таких сервисов, как Canva — могут оставлять заметные следы или шаблоны, которые могут сохраняться при различных атаках или у конкретных субъектов.
«Эти последовательные закономерности при анализе могут устранить разрыв между различными кампаниями, позволяя исследователям приписать их общему злоумышленнику, даже если технический след вредоносного ПО различается», — говорит она.
Нгок Буи, эксперт по кибербезопасности в Menlo Security, говорит, что понимание взаимоотношений между различными семействами вредоносных программ, связанных с одними и теми же субъектами угроз, имеет важное значение.
«Это помогает составить более полный профиль угроз и определить тактику и мотивацию этих субъектов угроз», — говорит Буй.
Например, если исследователи обнаружат связь между DarkGate, Ducktail, Lobshot и Redline Stealer, они смогут сделать вывод, что один и тот же субъект или группа участвует в нескольких кампаниях, что предполагает высокий уровень сложности.
«Это также может помочь аналитикам определить, работают ли вместе более одной группы угроз, как мы видим на примере кампаний и усилий по вымогательству», — добавляет Буй.
MaaS влияет на ландшафт киберугроз
Буй отмечает, что доступность DarkGate как услуги имеет серьезные последствия для кибербезопасности.
«Это снижает входной барьер для начинающих киберпреступников, которым может не хватать технических знаний», — объясняет Буй. «В результате больше людей или групп могут получить доступ к сложному вредоносному ПО, такому как DarkGate, и развернуть его, что повышает общий уровень угрозы».
Буй добавляет, что предложения «вредоносное ПО как услуга» (MaaS) предоставляют киберпреступникам удобные и экономичные средства для проведения атак.
Для аналитика кибербезопасности это представляет собой проблему, поскольку он должен постоянно адаптироваться к новым угрозам и учитывать возможность использования одной и той же службы вредоносного ПО несколькими субъектами угроз.
Это также может немного затруднить отслеживание злоумышленника, использующего вредоносное ПО, поскольку само вредоносное ПО может вернуться к разработчику, а не к злоумышленнику, использующему вредоносное ПО.
Смена парадигмы в обороне
Гюнтер говорит, что для лучшего понимания современной, постоянно развивающейся ситуации с киберугрозами назрела смена парадигмы в стратегиях защиты.
«Использование последовательностей обнаружения на основе поведения, а также использование искусственного интеллекта и машинного обучения позволяет выявлять аномальное поведение сети, превосходя предыдущие ограничения методов, основанных на сигнатурах», — говорит она.
Кроме того, объединение аналитических данных об угрозах и содействие обмену информацией о возникающих угрозах и тактиках в различных отраслях промышленности могут стать катализатором раннего обнаружения и смягчения последствий.
«Регулярные проверки, включающие сетевые конфигурации и тесты на проникновение, могут превентивно выявлять уязвимости», — добавляет Гюнтер. «Более того, хорошо информированный персонал, обученный распознавать современные угрозы и векторы фишинга, становится первой линией защиты организации, существенно снижая коэффициент риска».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :имеет
- :является
- :нет
- $UP
- 2018
- 7
- a
- в состоянии
- О нас
- доступ
- через
- Действие (Act):
- действия
- активно
- деятельность
- актеры
- приспосабливать
- Добавляет
- После
- против
- AI
- позволяет
- причислены
- всегда
- an
- аналитик
- Аналитики
- проанализированы
- и
- очевидный
- МЫ
- оружие
- AS
- стремящийся
- предполагать
- At
- нападки
- попытки
- аудит
- автор
- свободных мест
- назад
- приманка
- барьер
- BE
- стали
- , так как:
- становится
- было
- поведения
- за
- не являетесь
- Лучшая
- между
- МОСТ
- Строительство
- by
- Кампания
- Кампании
- CAN
- способный
- карта
- катализируют
- вызов
- менялась
- Кластер
- Общий
- Связь
- постигать
- комплексный
- вывод
- Проводить
- связи
- Коммутация
- согласие
- Рассматривать
- последовательный
- современный
- беспрестанно
- Удобно
- Корреляция
- рентабельным
- создали
- кредит
- кредитная карта
- критической
- криптовалюта
- Cryptojacking
- кибер-
- киберпреступности
- киберпреступники
- Информационная безопасность
- данным
- Decrypt
- Защита
- доставить
- поставка
- требующий
- развертывание
- подробнее
- обнаружение
- Определять
- определены
- Застройщик
- устройство
- Устройства
- DID
- различный
- дифференцированный
- трудный
- распространять
- Документация
- управлять
- каждый
- Рано
- усилия
- охватывающий
- позволяет
- охватывая
- запись
- существенный
- Даже
- развивается
- пример
- проведение
- эксперту
- опыта
- Объясняет
- семей
- Файл
- Файлы
- финансовый
- Найдите
- First
- фокусируется
- след
- Что касается
- судебный
- содействие
- от
- функциональность
- Функции
- далее
- разрыв
- дал
- группы
- Группы
- Есть
- he
- помощь
- помогает
- High
- очень
- HTTPS
- ID
- Идентификация
- идентифицирующий
- if
- эффектных
- Воздействие
- реализация
- последствия
- улучшать
- in
- В том числе
- повышение
- Индия
- индикаторы
- лиц
- промышленность
- информация
- начальный
- размышления
- Интеллекта
- в
- неоценимый
- ходе расследования,
- вовлеченный
- IT
- ЕГО
- саму трезвость
- JPG
- Сохранить
- знания
- Отсутствие
- пейзаж
- Оставлять
- уровень
- Используя
- такое как
- Вероятно
- недостатки
- линия
- связанный
- связи
- мало
- сделать
- вредоносных программ
- Вредоносное ПО как услуга (MaaS)
- менеджер
- Май..
- означает
- Сообщения
- Метаданные
- методы
- может быть
- смягчение
- ML
- Модерн
- модифицировало
- модус
- БОЛЕЕ
- Более того
- мотивации
- с разными
- должен
- имена
- сеть
- Новые
- отметил,
- Заметки
- печально известный
- номера
- of
- предлагают
- Предложения
- on
- ONE
- онлайн
- открытый
- с открытым исходным кодом
- операция
- or
- организация
- организации
- Другое
- внешний
- общий
- собственный
- парадигма
- пароли
- паттеранами
- оплата
- проникновение
- фишинг
- Стержень
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- представляет
- возможность
- возможное
- потенциал
- предыдущий
- Профиль
- обеспечивать
- Гонки
- ассортимент
- Выкуп
- вымогателей
- быстро
- RAT
- последний
- признавая
- снижение
- регулярный
- Отношения
- удаленные
- удаленный доступ
- НЕОДНОКРАТНО
- отчету
- Reporting
- исследованиям
- исследователи
- результат
- Снижение
- s
- Сказал
- то же
- говорит
- безопасность
- посмотреть
- старший
- чувствительный
- обслуживание
- Услуги
- она
- сдвиг
- значительный
- аналогичный
- с
- одинарной
- Skype
- сложный
- утонченность
- Источник
- конкретный
- Начало
- и политические лидеры
- Стивен
- деформации
- стратегий
- сильный
- по существу
- такие
- Предлагает
- превосходящие
- тактика
- цель
- направлены
- направлена против
- команды
- Технический
- снижения вреда
- тестов
- чем
- который
- Ассоциация
- Великобритании
- их
- Их
- тогда
- Эти
- они
- этой
- те
- угроза
- актеры угрозы
- угрозы
- Через
- Галстуки
- в
- вместе
- Отслеживание
- специалистов
- троянец
- Uk
- непокрытый
- понимание
- обновление
- us
- используемый
- Информация о пользователе
- через
- разнообразие
- вертикалей
- очень
- жертвы
- вьетнамский
- Уязвимости
- законопроект
- we
- ЧТО Ж
- были
- когда
- который
- КТО
- широкий
- Широкий диапазон
- вытирать
- без
- Трудовые ресурсы
- работает
- зефирнет