Фирма забеляза нарушение на сигурността. След това следователите откриха този нов мистериозен зловреден софтуер

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Неоткрита преди това кампания за кибершпионаж, използваща невиждан досега зловреден софтуер, прониква в световните космически и телекомуникационни компании в силно насочена операция, която е активна поне от 2018 г., но остава напълно под радара до юли тази година.

Кампанията е дело на наскоро разкрита иранска хакерска група, наречена MalKamak подробно от компанията за киберсигурност Cybereason Nocturnus, който го откри, след като бе повикан от клиент за разследване на инцидент със сигурността.

Наречена операция GhostShell, целта на кампанията за кибершпионаж е да компрометира мрежите от компании в аерокосмическата и телекомуникационната индустрия, за да открадне чувствителна информация за активи, инфраструктура и технологии. Целите – които не са разкрити – са предимно в Близкия изток, но с допълнителни жертви в САЩ, Европа и Русия. Изглежда, че всяка цел е избрана ръчно от нападателите.

ВИЖ: Нападателите на Ransomware са насочени към тази компания. Тогава защитниците откриха нещо любопитно

„Това е много, много целенасочен тип атака“, каза за ZDNet Асаф Дахан, ръководител на изследването на заплахите в Cybereason. “Успяхме само да идентифицираме около 10 жертви по целия свят.”

MalKamak разпространява досега недокументиран троянец за отдалечен достъп (RAT), известен като ShellClient, който е проектиран с шпионаж предвид – поради което той остава незабелязан в продължение на три години. Една от причините зловредният софтуер да остане толкова ефективен е, че авторите са положили много усилия да го направят достатъчно скрит, за да избегнат антивирусни и други инструменти за сигурност. Зловредният софтуер получава редовни актуализации, така че това продължава да бъде така.

„Всяка итерация добавя повече функционалност, добавя различни нива на стелт“, каза Дахан.

ShellClient дори започна да внедрява клиент на Dropbox за командване и контрол в целеви мрежи, което затруднява откриването, тъй като много компании може да не забележат или да мислят много за още един инструмент за сътрудничество в облак, който извършва действия, ако изобщо го забележат.

Всичко това е част от плана за използване на троянски коне за наблюдение на системи, кражба на идентификационни данни на потребителя, тайно изпълнение на команди в мрежи и в крайна сметка кражба на чувствителна информация. Всяка заразена машина получава уникален идентификационен номер, така че нападателите да могат да следят работата си през седмиците и месеците, в които обикалят около компрометирани мрежи.

“След като влязат, те започват да извършват обширно разузнаване на мрежата. Те очертават важните активи – бижутата, за които биха отишли, ключови сървъри като Active Directory, но и бизнес сървъри, които съдържат типа информация, която те преследват – каза Дахан.

Кампанията успешно остана незабелязана до юли, когато бяха извикани изследователи да разследват инцидент. Възможно е нападателите да са били твърде уверени в тактиката си и да са преиграли ръката си, оставяйки доказателства, които са позволили на изследователите да идентифицират кампанията и използвания зловреден софтуер.

“Според това, което виждаме, през последната година те ускориха темпото. Понякога, когато сте по -бързи, можете да бъдете леко помия или просто ще има повече случаи, които ще бъдат открити”, обясни Дахан.

Анализът на инструментите и техниките на MalKamack накара изследователите да смятат, че атаките са дело на хакерска операция, работеща в Иран, тъй като един от инструментите, които ShellClient RAT използва за атаки за изхвърляне на идентификационни данни, е вариант на SafetKatz, който е свързан с предишни ирански кампании. Насочването към телекомуникационни и космически компании, опериращи в Близкия изток, също е в съответствие с геополитическите цели на Иран.

ВИЖ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet)

Но въпреки че има прилики с известни ирански държавни операции за кибершпионаж, включително Chafer (APT39), който използва подобни техники за насочване към жертви в Близкия изток, САЩ и Европа, както и Agrius APT, който споделя сходства в кода на зловреден софтуер, изследователите смятат, че MalKamack е нова иранска кибер операция-въпреки че вероятно има връзки с други дейности, спонсорирани от държавата.

Изследователите също така смятат, че операция GhostShell остава активна и че MalKamack ще продължи да развива начина, по който провежда атаки, за да продължи да краде информация от мишени. Понастоящем не е известно как нападателите получават първоначален достъп до мрежата, но има вероятност това да стане чрез фишинг атаки или от използване на незапазени уязвимости.

ПОВЕЧЕ ЗА СИГУРНОСТ

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •