Logo  
Rzecznicy Agencje Eksperci Eksperci Rzecznicy Agencje Firmy Zaloguj
Rzecznicy Agencje PR Firmy Eksperci Aktywność
rzeczników
Aktywność
firm
Aktywność
agencji PR
Zaloguj

Login: Hasło:
pamiętaj
Nie masz konta? Rejestracja
Nowe hasło
Zamów reklamę w serwisie rzecznikprasowy.pl

       
 
 Czwartek, 26 listopada 2020
 
Centrum prasowe dla rzeczników, biur prasowych, agencji PR i dziennikarzy.
Bezpłatne komunikaty prasowe do przedruku.
Zaloguj się!
BRANŻE
Wszystkie (47553)
AGD (207)
Biznes (4986)
Budownictwo (2138)
Dom (1538)
Dziecko (1249)
Edukacja (1822)
Elektronika (971)
Film (119)
Finanse (1793)
Internet (2990)
Komputery (2480)
Książki (216)
Kulinaria (990)
Kultura i sztuka (1223)
Media (616)
Moda i Styl (1004)
Motoryzacja (1168)
Muzyka (267)
Nieruchomości (1011)
Ogród (147)
Oprogramowanie (2450)
Polityka (370)
Praca i kariera (983)
Prawo (930)
Reklama i PR (979)
RTV (196)
Sport (840)
Telekomunikacja (527)
Turystyka (1198)
Transport (515)
Uroda (513)
Wnętrze (818)
Zdrowie (1695)
Zwierzęta (83)
Życie (1403)
Inne (2669)
Dolnośląskie (242)
Kujawsko-pomorskie (1187)
Lubelskie (25)
Lubuskie (57)
Łódzkie (79)
Małopolskie (151)
Mazowieckie (1624)
Opolskie (23)
Podkarpackie (58)
Podlaskie (236)
Pomorskie (153)
Śląskie (395)
Świętokrzyskie (26)
Warmińsko-mazurskie (46)
Wielkopolskie (101)
Zachodniopomorskie (46)


Złota Strona Tygodnia

subskrybuj kanały RSS subskrybuj kanały RSS
Dodaj do Facebooka Facebook
Dodaj do Twittera Twitter

TAGI
 
 


LOSOWE REDAKCJE
 

WZP24.PL


silk.pl


Twój Kurier Regionalny


Proseed


Itezone


 
KOMUNIKATY TEKSTOWE

Nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe
Dodano: 08.10.2020, godzina: 12:33
Nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe
Badacze z firmy Kaspersky zidentyfikowali serię wysoce ukierunkowanych ataków z 2018 r. na przemysłowe spółki holdingowe.
W porównaniu z kampaniami wymierzonymi w dyplomatów oraz znanych aktywistów politycznych podmioty te zdecydowanie rzadziej trafiają na celownik cybergangów. Wykorzystywany w atakach zestaw narzędzi został nazwany przez firmę Kaspersky „MontysThree”. Wykorzystuje on szereg technik w celu uniknięcia wykrycia, w tym przechowywanie komunikacji z serwerem sterującym w serwisach chmury publicznej oraz ukrywanie głównego szkodliwego modułu przy użyciu steganografii.

Najczęstszy cel zaawansowanych cybergangów stanowią podmioty rządowe, dyplomaci oraz operatorzy telekomunikacyjni, czyli osoby i instytucje znajdujące się w posiadaniu ogromnej ilości wysoce poufnych i politycznie wrażliwych informacji. Ukierunkowane kampanie szpiegowskie wymierzone w podmioty przemysłowe zdarzają się znacznie rzadziej – jednak, jak w przypadku każdego ataku na ten krytyczny sektor – ich skutki mogą być niezwykle destrukcyjne. Dlatego po wykryciu aktywności MontysThree badacze z firmy Kaspersky postanowili przyjrzeć się bliżej temu zagrożeniu.

W celu przeprowadzenia kampanii szpiegowskiej MontysThree wykorzystuje szkodliwy program złożony z czterech modułów. Pierwszy z nich – moduł ładujący – jest rozprzestrzeniany za pośrednictwem plików RAR SFX (samorozpakowujących się archiwów), których nazwy nawiązują do listy kontaktów pracowników, dokumentacji technicznej oraz wyników badań medycznych, aby skłonić potencjalne ofiary do pobrania takich plików (jest to powszechna technika phishingu spersonalizowanego). Głównym zadaniem modułu ładującego jest uniemożliwienie wykrycia szkodnika w systemie. W tym celu stosuje on steganografię.

Steganografia stosowana jest po to, by ukryć odbywającą się wymianę danych. W przypadku MontysThree główna szkodliwa funkcja maskowana jest pod postacią pliku mapy bitowej (formatu służącego do przechowywania obrazów cyfrowych). Po wprowadzeniu odpowiedniego polecenia moduł ładujący stosuje specjalny algorytm w celu odszyfrowania zawartości z układu pikseli i uruchomienia szkodliwej funkcji.

Główna szkodliwa funkcja wykorzystuje kilka własnych technik szyfrowania w celu uniknięcia wykrycia, tj. algorytm RSA w celu szyfrowania komunikacji z serwerem sterującym oraz odszyfrowania głównych „zadań”. Zadania te obejmują wyszukiwanie dokumentów, które posiadają określone rozszerzenia oraz znajdują się w określonych folderach firmowych. MontysThree bierze na celownik dokumenty pakietu Microsoft Office oraz PDF-y. Potrafi również przechwytywać zrzuty ekranu oraz „zdejmować odcisk palca” ofiary (tj. gromadzić informacje dotyczące ustawień jej sieci, nazwy maszyny itd.), aby sprawdzić, czy będzie ona interesująca dla cyberprzestępców.

Zebrane informacje, jak również pozostała komunikacja z serwerem sterującym są następnie zamieszczane w usługach chmury publicznej (m.in. Google, Microsoft oraz Dropbox). Utrudnia to zidentyfikowanie komunikacji jako szkodliwej, a ponieważ żaden antywirus nie blokuje takich usług, serwer sterujący może wykonywać polecenia bez żadnych przeszkód.

MontysThree stosował również prostą metodę utrzymania się w zainfekowanym systemie – modyfikator dla paska Szybkie uruchamianie w systemie Windows. Użytkownicy bezwiednie sami uruchamiają początkowy moduł szkodliwego oprogramowania za każdym razem, gdy uruchamiają legalne aplikacje (np. przeglądarkę) przy użyciu wspomnianego paska narzędzi Szybkie uruchamianie.

Badacze z firmy Kaspersky nie znaleźli żadnych podobieństw w szkodliwym kodzie ani infrastrukturze pozwalających powiązać opisywane ataki z jakimkolwiek znanym zaawansowanym cybergangiem.

MontysThree jest interesujący nie tylko dlatego, że atakuje przemysłowe spółki holdingowe, ale również ze względu na połączenie zarówno wyrafinowanych, jak i nieco „amatorskich” taktyk, technik i procedur. Poziom skomplikowania różni się w zależności od modułu, jednak daleko mu do wyrafinowania prezentowanego przez najbardziej zaawansowane ugrupowania cyberprzestępcze. Niemniej jednak stojący za cyberkampanią przestępcy stosują mocne standardy kryptograficzne, a niektóre z podjętych decyzji, np. wykorzystanie steganografii, wskazują na obeznanie ze współczesną techniką. Najważniejsze jest jednak to, że cyberprzestępcy włożyli wiele wysiłku w rozwój zestawu narzędzi MontysThree, co świadczy o ich determinacji w dążeniu do realizacji celów i wskazuje, że z pewnością nie jest to krótkotrwała operacja – powiedział Denis Legezo, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Więcej informacji na temat zestawu szkodliwych narzędzi MontysThree znajduje się na stronie https://kas.pr/ged1. Szczegółowe informacje dotyczące wskaźników infekcji związanych z omawianym ugrupowaniem, łącznie ze skrótami plików, są dostępne w portalu Kaspersky Threat Intelligence Portal.

Szczegółowa prezentacja dotycząca MontysThree zostanie przedstawiona wraz z innymi odkryciami w dziedzinie cyberbezpieczeństwa w ramach konferencji online [email protected] Bezpłatnej rejestracji można dokonać na stronie https://kas.pr/tr59.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.


KOMENTARZE
Nie ma jeszcze komentarzy

Dodaj komentarz:

Ile to jest 0 + 15:


 

O AUTORZE
  
Kaspersky Lab Polska
www.kaspersky.pl

Firma

Kupczyk Piotr
Rzecznik
 

INNE MATERIAŁY TEGO AUTORA
 
Kaspersky i koalicja przeciwko stalkerware: mija rok walki o prywatność cyfrowąKaspersky i koalicja przeciwko stalkerware: mija rok walki o prywatność cyfrową
Zaawansowane cyberzagrożenia w 2021 r.Zaawansowane cyberzagrożenia w 2021 r.
Kaspersky finalizuje relokację systemów przetwarzania danych do SzwajcariiKaspersky finalizuje relokację systemów przetwarzania danych do Szwajcarii
Trzy czwarte pracowników nie chce powrotu do tradycyjnego modelu pracy sprzed pandemii Trzy czwarte pracowników nie chce powrotu do tradycyjnego modelu pracy sprzed pandemii
Cyberprzestępcy wolą publikować poufne informacje online zamiast szyfrować daneCyberprzestępcy wolą publikować poufne informacje online zamiast szyfrować dane
 
Zobacz wszystkie »

PODOBNE KOMUNIKATY
 
Kaspersky i koalicja przeciwko stalkerware: mija rok walki o prywatność cyfrową
 
Zaawansowane cyberzagrożenia w 2021 r.
 
Kaspersky finalizuje relokację systemów przetwarzania danych do Szwajcarii
 
Trzy czwarte pracowników nie chce powrotu do tradycyjnego modelu pracy sprzed pandemii
 
Cyberprzestępcy wolą publikować poufne informacje online zamiast szyfrować dane