Дослідники з кібербезпеки виявили зв’язок між горезвісним трояном віддаленого доступу DarkGate (RAT) і в’єтнамською фінансовою кіберзлочинністю, що стоїть за інформаційним крадієм Ducktail.
За допомогою дослідників Secure, які помітили діяльність Ducktail у 2022 році, почали розслідування DarkGate після виявлення численних спроб зараження організацій у Великобританії, США та Індії.
«Швидко стало очевидним, що документи-приманки та націлювання були дуже схожі на нещодавні інформаційні кампанії Ducktail, і можна було перейти через дані відкритого джерела з кампанії DarkGate до кількох інших інформаційних стілерів, які, швидше за все, використовувалися тим самим актором/групою. ", - зазначається в повідомленні.
Зв'язки DarkGate з Ducktail
DarkGate є шкідливе програмне забезпечення здатний здійснювати широкий спектр зловмисних дій, включаючи крадіжку інформації, криптозлом і використання Skype, Teams і Messages для розповсюдження шкідливого програмного забезпечення.
Зловмисне програмне забезпечення може викрасти різноманітні дані із заражених пристроїв, зокрема імена користувачів, паролі, номери кредитних карток та іншу конфіденційну інформацію, і використовуватися для майнінгу криптовалюти на заражених пристроях без відома чи згоди користувача.
Його можна використовувати для доставки програм-вимагачів на заражені пристрої, шифрування файлів користувача та вимагання викупу за їх розшифровку.
Старший аналітик із аналізу загроз WithSecure Стівен Робінсон пояснює, що на високому рівні функціональність зловмисного програмного забезпечення DarkGate не змінилася з моменту першого звіту в 2018 році.
«Це завжди був швейцарський армійський ніж, багатофункціональне шкідливе програмне забезпечення», — каже він. «Тим не менш, з тих пір автор неодноразово оновлював і модифікував його, що, як ми можемо припустити, покликане покращити реалізацію цих шкідливих функцій і не відставати від гонки озброєнь щодо виявлення AV/зловмисного програмного забезпечення».
Він зазначає, що кампанії DarkGate (і учасники, які стоять за ними) можна диференціювати за тим, на кого вони націлені, за приманками та векторами інфекції, які вони використовують, і за їхніми діями щодо цілі.
«Конкретний в’єтнамський кластер, на якому зосереджується звіт, використовував однакове націлювання, імена файлів і навіть залучав файли для кількох кампаній з використанням кількох штамів шкідливого програмного забезпечення», — каже Робінсон.
Вони створили PDF-файли, використовуючи онлайн-сервіс, який додає власні метадані до кожного створеного файлу; ці метадані створили міцні зв’язки між різними кампаніями.
Вони також створили кілька шкідливих файлів LNK на одному пристрої та не стерли метадані, що дозволило кластеризувати подальшу діяльність.
Кореляція між DarkGate і Ducktail була визначена за нетехнічними маркерами, такими як файли приманок, шаблони націлювання та методи доставки, зібрані в 15-сторінковий звітом.
«Нетехнічні індикатори, такі як файли-приманки та метадані, є дуже впливовими криміналістичними підказками. Файли-приманки, які діють як приманка, щоб спонукати жертв запустити зловмисне програмне забезпечення, дають безцінне уявлення про способи дії зловмисників, їхні потенційні цілі та методи, що розвиваються», — пояснює Каллі Гюнтер, старший менеджер із дослідження кіберзагроз у Critical Start.
Подібним чином метадані — така інформація, як «Ідентифікатор диска LNK» або деталі таких служб, як Canva — можуть залишати помітні сліди чи шаблони, які можуть зберігатися під час різних атак або конкретних учасників.
«Після аналізу ці узгоджені шаблони можуть подолати розрив між різними кампаніями, дозволяючи дослідникам приписати їх спільному зловмиснику, навіть якщо технічний слід шкідливого програмного забезпечення відрізняється», — каже вона.
Нгок Буй, експерт з кібербезпеки в Menlo Security, каже, що розуміння зв’язків між різними сімействами шкідливих програм, пов’язаних з тими самими загрозами, має важливе значення.
«Це допомагає побудувати більш повний профіль загроз і визначити тактику та мотивацію цих суб’єктів загрози», — каже Буї.
Наприклад, якщо дослідники виявлять зв’язок між DarkGate, Ducktail, Lobshot і Redline Stealer, вони можуть зробити висновок, що один актор або група бере участь у кількох кампаніях, що свідчить про високий рівень складності.
«Це також може допомогти аналітикам визначити, чи працює разом більше ніж одна група загроз, як ми бачимо в кампаніях і зусиллях щодо програм-вимагачів», — додає Буї.
MaaS впливає на ландшафт кіберзагроз
Буй зазначає, що доступність DarkGate як сервісу має значні наслідки для ландшафту кібербезпеки.
«Це знижує вхідний бар’єр для початківців кіберзлочинців, яким може бракувати технічних знань», — пояснює Буї. «В результаті більше людей або груп можуть отримати доступ до складного шкідливого програмного забезпечення, такого як DarkGate, і розгорнути його, підвищуючи загальний рівень загрози».
Буй додає, що пропозиції зловмисного програмного забезпечення як послуги (MaaS) надають кіберзлочинцям зручний і економічно ефективний засіб для здійснення атак.
Для аналітиків з кібербезпеки це становить складність, оскільки вони повинні постійно адаптуватися до нових загроз і розглядати можливість використання кількома суб’єктами загрози однієї служби зловмисного програмного забезпечення.
Це також може дещо ускладнити відстеження зловмисника, який використовує зловмисне програмне забезпечення, оскільки саме зловмисне програмне забезпечення може повертатися до розробника, а не до загрозливого суб’єкта, який використовує зловмисне програмне забезпечення.
Зміна парадигми в обороні
Ґюнтер каже, що для кращого розуміння сучасного ландшафту кіберзагроз, який постійно розвивається, назріла зміна парадигми оборонних стратегій.
«Застосування послідовностей виявлення на основі поведінки, а також використання штучного інтелекту та машинного навчання дозволяє ідентифікувати аномальну поведінку мережі, перевершуючи попередні обмеження методів на основі сигнатур», — каже вона.
Крім того, об’єднання даних про загрози та сприяння комунікації щодо нових загроз і тактик у різних галузевих вертикалях можуть прискорити раннє виявлення та пом’якшення.
«Регулярні аудити, що охоплюють мережеві конфігурації та тести на проникнення, можуть завчасно виявити вразливості», — додає Гюнтер. «Більше того, добре поінформована робоча сила, навчена розпізнавати сучасні загрози та вектори фішингу, стає першою лінією захисту організації, суттєво знижуючи коефіцієнт ризику».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- : має
- :є
- : ні
- $UP
- 2018
- 7
- a
- Здатний
- МЕНЮ
- доступ
- через
- Діяти
- дії
- діяльності
- діяльність
- актори
- пристосовувати
- Додає
- після
- проти
- AI
- дозволяє
- Також
- завжди
- an
- аналітик
- аналітики
- проаналізовані
- та
- здається
- ЕСТЬ
- зброю
- AS
- прагне
- припустити
- At
- нападки
- Спроби
- аудит
- автор
- наявність
- назад
- bait
- бар'єр
- BE
- стали
- оскільки
- стає
- було
- поведінки
- за
- буття
- Краще
- між
- BRIDGE
- Створюємо
- by
- Кампанія
- Кампанії
- CAN
- здатний
- карта
- каталізувати
- виклик
- змінилися
- кластер
- загальний
- Комунікація
- осягнути
- всеосяжний
- укладає
- Проводити
- зв'язку
- Зв'язки
- згода
- Вважати
- послідовний
- сучасний
- безперестанку
- Зручний
- Кореляція
- рентабельним
- створений
- кредит
- кредитна картка
- критичний
- криптовалюта
- Cryptojacking
- кібер-
- кіберзлочинності
- кіберзлочинці
- Кібербезпека
- дані
- Розшифрувати
- оборони
- доставляти
- доставка
- вимогливий
- розгортання
- деталі
- Виявлення
- Визначати
- певний
- Розробник
- пристрій
- прилади
- DID
- різний
- диференційований
- важкий
- поширювати
- документація
- управляти
- кожен
- Рано
- зусилля
- обіймаючи
- дозволяє
- охоплюючий
- запис
- істотний
- Навіть
- еволюціонує
- приклад
- виконання
- експерт
- експертиза
- Пояснює
- сімей
- філе
- Файли
- фінансовий
- знайти
- Перший
- фокусується
- Слід
- для
- Криміналістика
- виховання
- від
- функціональність
- Функції
- далі
- розрив
- дав
- Group
- Групи
- Мати
- he
- допомога
- допомагає
- Високий
- дуже
- HTTPS
- ID
- Ідентифікація
- ідентифікує
- if
- вражаючий
- Вплив
- реалізація
- наслідки
- удосконалювати
- in
- У тому числі
- зростаючий
- Індію
- індикатори
- осіб
- промисловість
- інформація
- початковий
- розуміння
- Інтелект
- в
- безцінний
- дослідження
- залучений
- IT
- ЙОГО
- сам
- JPG
- тримати
- знання
- відсутність
- ландшафт
- Залишати
- рівень
- використання
- як
- Ймовірно
- недоліки
- Лінія
- пов'язаний
- зв'язку
- трохи
- зробити
- шкідливих програм
- Зловмисне програмне забезпечення як послуга (MaaS)
- менеджер
- Може..
- засоби
- повідомлення
- метадані
- методика
- може бути
- пом'якшення
- ML
- сучасний
- модифікований
- Режим
- більше
- Більше того
- мотиви
- множинний
- повинен
- Імена
- мережу
- Нові
- зазначив,
- примітки
- горезвісний
- номера
- of
- пропонувати
- Пропозиції
- on
- ONE
- онлайн
- відкрити
- з відкритим вихідним кодом
- операція
- or
- організація
- організації
- Інше
- з
- загальний
- власний
- парадигма
- Паролі
- моделі
- оплата
- проникнення
- phishing
- Стрижень
- plato
- Інформація про дані Платона
- PlatoData
- точок
- позах
- можливість
- це можливо
- потенціал
- попередній
- профіль
- забезпечувати
- Гонки
- діапазон
- Викуп
- вимагачів
- швидко
- ЩУР
- останній
- визнаючи
- зниження
- регулярний
- Відносини
- віддалений
- Віддалений доступ
- ПОВТОРНО
- звітом
- Звітність
- дослідження
- Дослідники
- результат
- Risk
- s
- Зазначений
- то ж
- говорить
- безпеку
- побачити
- старший
- чутливий
- обслуговування
- Послуги
- вона
- зсув
- значний
- аналогічний
- з
- один
- Skype
- складний
- витонченість
- Source
- конкретний
- старт
- почалася
- Стівен
- Штамми
- стратегії
- сильний
- по суті
- такі
- Запропонує
- перевершує
- тактика
- Мета
- націлювання
- цілі
- команди
- технічний
- методи
- Тести
- ніж
- Що
- Команда
- Великобританія
- їх
- Їх
- потім
- Ці
- вони
- це
- ті
- загроза
- актори загроз
- загрози
- через
- Зв'язку
- до
- разом
- Відстеження
- навчений
- троянець
- Uk
- непокритий
- розуміння
- оновлений
- us
- використовуваний
- користувач
- використання
- різноманітність
- вертикалі
- дуже
- жертви
- в'єтнамці
- Уразливості
- було
- we
- ДОБРЕ
- були
- коли
- який
- ВООЗ
- широкий
- Широкий діапазон
- протирати
- з
- без
- Трудові ресурси
- робочий
- зефірнет