Cybersäkerhetsforskare har avslöjat ett samband mellan den ökända DarkGate remote access trojanen (RAT) och den Vietnam-baserade finansiella cyberbrottsverksamheten bakom Ducktail infostealer.
WithSecures forskare, som upptäckte Ducktails aktivitet 2022, startade sin undersökning av DarkGate efter att ha upptäckt flera infektionsförsök mot organisationer i Storbritannien, USA och Indien.
"Det blev snabbt uppenbart att lockbetsdokumenten och inriktningen var mycket lika de senaste Ducktail infostealer-kampanjer, och det var möjligt att svänga genom öppen källkod från DarkGate-kampanjen till flera andra infostealers som med stor sannolikhet används av samma aktör/grupp ", noterade rapporten.
DarkGates band till Ducktail
DarkGate är bakdörr skadlig kod kan utföra ett brett utbud av skadliga aktiviteter, inklusive informationsstöld, kryptojackning och användning av Skype, Teams och Messages för att distribuera skadlig programvara.
Skadlig programvara kan stjäla en mängd olika data från infekterade enheter, inklusive användarnamn, lösenord, kreditkortsnummer och annan känslig information och användas för att bryta kryptovalutor på infekterade enheter utan användarens vetskap eller samtycke.
Det kan användas för att leverera ransomware till infekterade enheter, kryptera användarens filer och kräva en lösensumma för att dekryptera dem.
WithSecure senior hot intelligence-analytiker Stephen Robinson förklarar att på en hög nivå har DarkGate malware-funktionalitet inte förändrats sedan den första rapporteringen 2018.
"Det har alltid varit en schweizisk armékniv, multifunktionell malware", säger han. "Som sagt, det har uppdaterats och modifierats upprepade gånger av författaren sedan dess, vilket vi kan anta har varit för att förbättra implementeringen av dessa skadliga funktioner och för att hänga med i kapprustningen för upptäckt av AV/Malware."
Han noterar att DarkGate-kampanjer (och aktörerna bakom dem) kan särskiljas efter vem de riktar sig till, beten och infektionsvektorer de använder och deras handlingar på målet.
"Det specifika vietnamesiska klustret som rapporten fokuserar på använde samma inriktning, filnamn och till och med lockelsefiler för flera kampanjer med flera stammar av skadlig programvara", säger Robinson.
De skapade PDF-lockfiler med hjälp av en onlinetjänst som lägger till sin egen metadata till varje skapad fil; att metadata gav ytterligare starka kopplingar mellan de olika kampanjerna.
De skapade också flera skadliga LNK-filer på samma enhet och raderade inte metadata, vilket gjorde att ytterligare aktivitet kunde klustras.
Korrelationen mellan DarkGate och Ducktail fastställdes från icke-tekniska markörer som betefiler, inriktningsmönster och leveransmetoder, sammanställda i en 15-sidig rapport.
"Icke-tekniska indikatorer som lockbetsfiler och metadata är mycket slagkraftiga rättsmedicinska ledtrådar. Lure-filer, som fungerar som lockbete för att locka offer att köra skadlig programvara, ger ovärderliga insikter om en angripares tillvägagångssätt, deras potentiella mål och deras tekniker som utvecklas”, förklarar Callie Guenther, senior manager för cyberhotsforskning på Critical Start.
På liknande sätt kan metadata – information som "LNK Drive ID" eller detaljer från tjänster som Canva – lämna urskiljbara spår eller mönster som kan kvarstå över olika attacker eller specifika aktörer.
"Dessa konsekventa mönster, när de analyseras, kan överbrygga klyftan mellan olika kampanjer, vilket gör det möjligt för forskare att tillskriva dem en vanlig förövare, även om skadlig programvaras tekniska fotavtryck skiljer sig", säger hon.
Ngoc Bui, cybersäkerhetsexpert på Menlo Security, säger att det är viktigt att förstå relationerna mellan olika skadliga programfamiljer kopplade till samma hotaktörer.
"Det hjälper till att bygga en mer omfattande hotprofil och identifiera dessa hotaktörers taktik och motivation", säger Bui.
Till exempel, om forskare hittar kopplingar mellan DarkGate, Ducktail, Lobshot och Redline Stealer, kan de kanske dra slutsatsen att en enda aktör eller grupp är involverad i flera kampanjer, vilket tyder på en hög nivå av sofistikering.
"Det kan också hjälpa analytiker att avgöra om mer än en hotgrupp arbetar tillsammans som vi ser med ransomware-kampanjer och ansträngningar," tillägger Bui.
MaaS påverkar landskapet med cyberhot
Bui påpekar att tillgängligheten av DarkGate som en tjänst har betydande konsekvenser för cybersäkerhetslandskapet.
"Det sänker inträdesbarriären för aspirerande cyberbrottslingar som kanske saknar teknisk expertis", förklarar Bui. "Som ett resultat kan fler individer eller grupper komma åt och distribuera sofistikerad skadlig programvara som DarkGate, vilket ökar den övergripande hotnivån."
Bui tillägger att erbjudanden om malware-as-a-service (MaaS) ger cyberbrottslingar ett bekvämt och kostnadseffektivt sätt att utföra attacker.
För en cybersäkerhetsanalytiker utgör detta en utmaning eftersom de ständigt måste anpassa sig till nya hot och överväga möjligheten att flera hotaktörer använder samma skadliga programtjänst.
Det kan också göra det lite svårare att spåra hotaktören som använder skadlig programvara, eftersom skadlig programvara i sig kan samlas tillbaka till utvecklaren och inte hotaktören som använder skadlig programvara.
Paradigmskifte i försvaret
Guenther säger att för att bättre förstå det moderna, ständigt föränderliga cyberhotslandskapet, är ett paradigmskifte i försvarsstrategier på gång.
"Att omfamna beteendebaserade detektionssekvenser, såväl som att utnyttja AI och ML, möjliggör identifiering av avvikande nätverksbeteenden, vilket överträffar de tidigare begränsningarna för signaturbaserade metoder," säger hon.
Dessutom kan en sammanslagning av hotintelligens och främja kommunikation om framväxande hot och taktiker över branschvertikaler katalysera tidig upptäckt och begränsning.
"Regelbundna revisioner, som omfattar nätverkskonfigurationer och penetrationstester, kan förebyggande upptäcka sårbarheter," tillägger Guenther. "Dessutom blir en välinformerad arbetsstyrka, utbildad i att känna igen samtida hot och nätfiske-vektorer, en organisations första försvarslinje, vilket minskar riskkvoten avsevärt."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- : har
- :är
- :inte
- $UPP
- 2018
- 7
- a
- Able
- Om oss
- tillgång
- tvärs
- Agera
- åtgärder
- aktiviteter
- aktivitet
- aktörer
- anpassa
- Lägger
- Efter
- mot
- AI
- tillåter
- också
- alltid
- an
- analytiker
- analytiker
- analyseras
- och
- skenbar
- ÄR
- armar
- AS
- blivande
- utgå ifrån
- At
- Attacker
- Försök
- revisioner
- Författaren
- tillgänglighet
- tillbaka
- bete
- barriär
- BE
- blev
- därför att
- blir
- varit
- beteenden
- bakom
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- mellan
- BRO
- Byggnad
- by
- Kampanj
- Kampanjer
- KAN
- kapabel
- kortet
- katalyserar
- utmanar
- ändrats
- kluster
- Gemensam
- Kommunikation
- förstå
- omfattande
- avslutar
- Genomför
- anslutning
- Anslutningar
- samtycke
- Tänk
- konsekvent
- samtida
- kontinuerligt
- Bekväm
- Korrelation
- kostnadseffektiv
- skapas
- kredit
- kreditkort
- kritisk
- kryptovaluta
- Cryptojacking
- cyber
- cyberbrottslighet
- nätbrottslingar
- Cybersäkerhet
- datum
- Avkryptera
- Försvar
- leverera
- leverans
- krävande
- distribuera
- detaljer
- Detektering
- Bestämma
- bestämd
- Utvecklare
- anordning
- enheter
- DID
- olika
- differentierad
- svårt
- distribuera
- dokument
- driv
- varje
- Tidig
- ansträngningar
- fattande
- möjliggör
- encompassing
- inträde
- väsentlig
- Även
- utvecklas
- exempel
- exekvera
- expert
- expertis
- Förklarar
- familjer
- Fil
- Filer
- finansiella
- hitta
- Förnamn
- fokuserar
- Fotavtryck
- För
- Forensic
- främja
- från
- funktionalitet
- funktioner
- ytterligare
- spalt
- gav
- Grupp
- Gruppens
- Har
- he
- hjälpa
- hjälper
- Hög
- höggradigt
- HTTPS
- ID
- Identifiering
- identifiera
- if
- effektfull
- Konsekvenser
- genomförande
- implikationer
- förbättra
- in
- Inklusive
- ökande
- indien
- indikatorer
- individer
- industrin
- informationen
- inledande
- insikter
- Intelligens
- in
- ovärderlig
- Undersökningen
- involverade
- IT
- DESS
- sig
- jpg
- Ha kvar
- kunskap
- Brist
- liggande
- Lämna
- Nivå
- hävstångs
- tycka om
- sannolikt
- begränsningar
- linje
- kopplade
- länkar
- liten
- göra
- malware
- Malware-as-a-Service (MaaS)
- chef
- Maj..
- betyder
- meddelanden
- metadata
- metoder
- kanske
- begränsning
- ML
- Modern Konst
- modifierad
- modus
- mer
- Dessutom
- motiv
- multipel
- måste
- namn
- nät
- Nya
- noterade
- Anmärkningar
- ökänd
- nummer
- of
- erbjudanden
- offer~~POS=TRUNC
- on
- ONE
- nätet
- öppet
- öppen källkod
- drift
- or
- organisation
- organisationer
- Övriga
- ut
- övergripande
- egen
- paradigmet
- lösenord
- mönster
- betalning
- genomslag
- Nätfiske
- pivot
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- utgör
- Möjligheten
- möjlig
- potentiell
- föregående
- Profil
- ge
- Lopp
- område
- Ransom
- Ransomware
- snabbt
- RÅTTA
- senaste
- känna igen
- reducerande
- regelbunden
- Förhållanden
- avlägsen
- fjärråtkomst
- UPPREPAT
- rapport
- Rapportering
- forskning
- forskare
- resultera
- Risk
- s
- Nämnda
- Samma
- säger
- säkerhet
- se
- senior
- känslig
- service
- Tjänster
- hon
- skifta
- signifikant
- liknande
- eftersom
- enda
- Skype
- sofistikerade
- raffinemang
- Källa
- specifik
- starta
- igång
- Stephen
- stammar
- strategier
- stark
- väsentligen
- sådana
- Föreslår
- överträffar
- taktik
- Målet
- targeting
- mål
- lag
- Teknisk
- tekniker
- tester
- än
- den där
- Smakämnen
- Storbritannien
- deras
- Dem
- sedan
- Dessa
- de
- detta
- de
- hot
- hotaktörer
- hot
- Genom
- Slipsar
- till
- tillsammans
- Spårning
- tränad
- Trojan
- Uk
- avtäckt
- förståelse
- uppdaterad
- us
- Begagnade
- Användare
- med hjälp av
- mängd
- vertikaler
- mycket
- offer
- vietnames
- sårbarheter
- var
- we
- VÄL
- były
- när
- som
- VEM
- bred
- Brett utbud
- torka
- med
- utan
- arbetskraft
- arbetssätt
- zephyrnet