Logo  
Rzecznicy Agencje Eksperci Eksperci Rzecznicy Agencje Firmy Zaloguj
Rzecznicy Agencje PR Firmy Eksperci Aktywność
rzeczników
Aktywność
firm
Aktywność
agencji PR
Zaloguj

Login: Hasło:
pamiętaj
Nie masz konta? Rejestracja
Nowe hasło
Zamów reklamę w serwisie rzecznikprasowy.pl

       
 
 Czwartek, 22 października 2020
 
Centrum prasowe dla rzeczników, biur prasowych, agencji PR i dziennikarzy.
Bezpłatne komunikaty prasowe do przedruku.
Zaloguj się!
BRANŻE
Wszystkie (47504)
AGD (207)
Biznes (4975)
Budownictwo (2137)
Dom (1538)
Dziecko (1249)
Edukacja (1822)
Elektronika (969)
Film (119)
Finanse (1787)
Internet (2984)
Komputery (2477)
Książki (216)
Kulinaria (990)
Kultura i sztuka (1223)
Media (615)
Moda i Styl (1004)
Motoryzacja (1167)
Muzyka (267)
Nieruchomości (1011)
Ogród (147)
Oprogramowanie (2443)
Polityka (369)
Praca i kariera (979)
Prawo (930)
Reklama i PR (978)
RTV (196)
Sport (840)
Telekomunikacja (527)
Turystyka (1198)
Transport (515)
Uroda (513)
Wnętrze (818)
Zdrowie (1694)
Zwierzęta (83)
Życie (1399)
Inne (2669)
Dolnośląskie (242)
Kujawsko-pomorskie (1187)
Lubelskie (25)
Lubuskie (57)
Łódzkie (79)
Małopolskie (151)
Mazowieckie (1624)
Opolskie (23)
Podkarpackie (58)
Podlaskie (236)
Pomorskie (153)
Śląskie (395)
Świętokrzyskie (26)
Warmińsko-mazurskie (46)
Wielkopolskie (101)
Zachodniopomorskie (46)


Złota Strona Tygodnia

subskrybuj kanały RSS subskrybuj kanały RSS
Dodaj do Facebooka Facebook
Dodaj do Twittera Twitter

TAGI
 
 


LOSOWE REDAKCJE
 

GospodarkaPodkarpacka.pl


Stein-Press


Gazeta Wyborcza


finanse.wp.pl


Decydent


 
KOMUNIKATY TEKSTOWE

Nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe
Dodano: 08.10.2020, godzina: 12:33
Nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe
Badacze z firmy Kaspersky zidentyfikowali serię wysoce ukierunkowanych ataków z 2018 r. na przemysłowe spółki holdingowe.
W porównaniu z kampaniami wymierzonymi w dyplomatów oraz znanych aktywistów politycznych podmioty te zdecydowanie rzadziej trafiają na celownik cybergangów. Wykorzystywany w atakach zestaw narzędzi został nazwany przez firmę Kaspersky „MontysThree”. Wykorzystuje on szereg technik w celu uniknięcia wykrycia, w tym przechowywanie komunikacji z serwerem sterującym w serwisach chmury publicznej oraz ukrywanie głównego szkodliwego modułu przy użyciu steganografii.

Najczęstszy cel zaawansowanych cybergangów stanowią podmioty rządowe, dyplomaci oraz operatorzy telekomunikacyjni, czyli osoby i instytucje znajdujące się w posiadaniu ogromnej ilości wysoce poufnych i politycznie wrażliwych informacji. Ukierunkowane kampanie szpiegowskie wymierzone w podmioty przemysłowe zdarzają się znacznie rzadziej – jednak, jak w przypadku każdego ataku na ten krytyczny sektor – ich skutki mogą być niezwykle destrukcyjne. Dlatego po wykryciu aktywności MontysThree badacze z firmy Kaspersky postanowili przyjrzeć się bliżej temu zagrożeniu.

W celu przeprowadzenia kampanii szpiegowskiej MontysThree wykorzystuje szkodliwy program złożony z czterech modułów. Pierwszy z nich – moduł ładujący – jest rozprzestrzeniany za pośrednictwem plików RAR SFX (samorozpakowujących się archiwów), których nazwy nawiązują do listy kontaktów pracowników, dokumentacji technicznej oraz wyników badań medycznych, aby skłonić potencjalne ofiary do pobrania takich plików (jest to powszechna technika phishingu spersonalizowanego). Głównym zadaniem modułu ładującego jest uniemożliwienie wykrycia szkodnika w systemie. W tym celu stosuje on steganografię.

Steganografia stosowana jest po to, by ukryć odbywającą się wymianę danych. W przypadku MontysThree główna szkodliwa funkcja maskowana jest pod postacią pliku mapy bitowej (formatu służącego do przechowywania obrazów cyfrowych). Po wprowadzeniu odpowiedniego polecenia moduł ładujący stosuje specjalny algorytm w celu odszyfrowania zawartości z układu pikseli i uruchomienia szkodliwej funkcji.

Główna szkodliwa funkcja wykorzystuje kilka własnych technik szyfrowania w celu uniknięcia wykrycia, tj. algorytm RSA w celu szyfrowania komunikacji z serwerem sterującym oraz odszyfrowania głównych „zadań”. Zadania te obejmują wyszukiwanie dokumentów, które posiadają określone rozszerzenia oraz znajdują się w określonych folderach firmowych. MontysThree bierze na celownik dokumenty pakietu Microsoft Office oraz PDF-y. Potrafi również przechwytywać zrzuty ekranu oraz „zdejmować odcisk palca” ofiary (tj. gromadzić informacje dotyczące ustawień jej sieci, nazwy maszyny itd.), aby sprawdzić, czy będzie ona interesująca dla cyberprzestępców.

Zebrane informacje, jak również pozostała komunikacja z serwerem sterującym są następnie zamieszczane w usługach chmury publicznej (m.in. Google, Microsoft oraz Dropbox). Utrudnia to zidentyfikowanie komunikacji jako szkodliwej, a ponieważ żaden antywirus nie blokuje takich usług, serwer sterujący może wykonywać polecenia bez żadnych przeszkód.

MontysThree stosował również prostą metodę utrzymania się w zainfekowanym systemie – modyfikator dla paska Szybkie uruchamianie w systemie Windows. Użytkownicy bezwiednie sami uruchamiają początkowy moduł szkodliwego oprogramowania za każdym razem, gdy uruchamiają legalne aplikacje (np. przeglądarkę) przy użyciu wspomnianego paska narzędzi Szybkie uruchamianie.

Badacze z firmy Kaspersky nie znaleźli żadnych podobieństw w szkodliwym kodzie ani infrastrukturze pozwalających powiązać opisywane ataki z jakimkolwiek znanym zaawansowanym cybergangiem.

MontysThree jest interesujący nie tylko dlatego, że atakuje przemysłowe spółki holdingowe, ale również ze względu na połączenie zarówno wyrafinowanych, jak i nieco „amatorskich” taktyk, technik i procedur. Poziom skomplikowania różni się w zależności od modułu, jednak daleko mu do wyrafinowania prezentowanego przez najbardziej zaawansowane ugrupowania cyberprzestępcze. Niemniej jednak stojący za cyberkampanią przestępcy stosują mocne standardy kryptograficzne, a niektóre z podjętych decyzji, np. wykorzystanie steganografii, wskazują na obeznanie ze współczesną techniką. Najważniejsze jest jednak to, że cyberprzestępcy włożyli wiele wysiłku w rozwój zestawu narzędzi MontysThree, co świadczy o ich determinacji w dążeniu do realizacji celów i wskazuje, że z pewnością nie jest to krótkotrwała operacja – powiedział Denis Legezo, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Więcej informacji na temat zestawu szkodliwych narzędzi MontysThree znajduje się na stronie https://kas.pr/ged1. Szczegółowe informacje dotyczące wskaźników infekcji związanych z omawianym ugrupowaniem, łącznie ze skrótami plików, są dostępne w portalu Kaspersky Threat Intelligence Portal.

Szczegółowa prezentacja dotycząca MontysThree zostanie przedstawiona wraz z innymi odkryciami w dziedzinie cyberbezpieczeństwa w ramach konferencji online [email protected] Bezpłatnej rejestracji można dokonać na stronie https://kas.pr/tr59.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.


KOMENTARZE
Nie ma jeszcze komentarzy

Dodaj komentarz:

Ile to jest 9 + 19:


 

O AUTORZE
  
Kaspersky Lab Polska
www.kaspersky.pl

Firma

Kupczyk Piotr
Rzecznik
 

INNE MATERIAŁY TEGO AUTORA
 
Oprogramowanie szpiegujące GravityRAT staje się wieloplatformoweOprogramowanie szpiegujące GravityRAT staje się wieloplatformowe
IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?
Kaspersky wykrywa zwiększoną aktywność cyberoszustów poprzedzającą premierę nowych...Kaspersky wykrywa zwiększoną aktywność cyberoszustów poprzedzającą premierę nowych...
Kaspersky Lab Polska otrzymuje prestiżowe wyróżnienie Kaspersky Lab Polska otrzymuje prestiżowe wyróżnienie "Medal Europejski"
Polys przechodzi na platformę ExonumPolys przechodzi na platformę Exonum
 
Zobacz wszystkie »

PODOBNE KOMUNIKATY
 
Oprogramowanie szpiegujące GravityRAT staje się wieloplatformowe
 
IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?
 
Kaspersky wykrywa zwiększoną aktywność cyberoszustów poprzedzającą premierę nowych...
 
Kaspersky Lab Polska otrzymuje prestiżowe wyróżnienie "Medal Europejski"
 
Polys przechodzi na platformę Exonum