Ny skadlig programvara bekräftar användaraktivitet innan den utnyttjar bakdörr för att bedriva cyberspionage
Cybersäkerhetsföretaget ESET har upptäckt att en känd och svårfångad hackgrupp har tyst distribuerat en skadlig kod som har några specifika mål. Skadlig programvara utnyttjar en bakdörr som tidigare har passerat under radaren. Dessutom gör programvaran några intressanta tester för att säkerställa att den riktar sig till en aktivt använd dator. Om skadlig programvara inte upptäcker aktivitet eller inte är nöjd stängs den helt enkelt av och försvinner för att bibehålla optimal smyg och undvika eventuell upptäckt. Den nya skadliga programvaran letar efter viktiga personligheter inom statens statliga maskiner. Enkelt uttryckt går skadlig programvara efter diplomater och regeringsdepartement över hela världen
De Ke3chang avancerad ihållande hotgrupp verkar ha dykt upp igen med en ny fokuserad hackingskampanj. Gruppen har framgångsrikt lanserat och hanterat cyber-spionagekampanjer sedan minst 2010. Gruppens aktiviteter och exploateringar är ganska effektiva. Kombinerat med de avsedda målen verkar det som om gruppen sponsras av en nation. Den senaste typen av skadlig programvara som används av Ke3chang gruppen är ganska sofistikerad. Tidigare distribuerade fjärråtkomsttrojaner och annan skadlig kod var också väl utformade. Den nya skadliga programvaran går dock utöver blind eller massinfektion av de riktade maskinerna. Istället är dess beteende ganska logiskt. Skadlig programvara försöker bekräfta och autentisera målets och maskinens identitet.
Cybersecurity Researchers på ESET identifierar nya attacker av Ke3chang:
Ke3changs avancerade beständiga hotgrupp, aktiv sedan minst 2010, identifieras också som APT 15. Det populära slovakiska antivirusprogrammet, brandväggen och andra cybersäkerhetsföretag ESET har identifierat bekräftade spår och bevis på gruppens aktiviteter. ESET-forskare hävdar att Ke3chang-gruppen använder sina beprövade och pålitliga tekniker. Men skadlig kod har uppdaterats väsentligt. Dessutom försöker gruppen att utnyttja en ny bakdörr den här gången. Den tidigare oupptäckta och orapporterade bakdörren kallas preliminärt Okrum.
ESET-forskare indikerade vidare att deras interna analys indikerar att gruppen går efter diplomatiska organ och andra statliga institutioner. Förresten har Ke3chang-gruppen varit exceptionellt aktiv i att genomföra sofistikerade, riktade och ihållande cyberspionagekampanjer. Traditionellt gick gruppen efter regeringstjänstemän och viktiga personligheter som arbetade med regeringen. Deras aktiviteter har observerats i länder över hela Europa och Central- och Sydamerika.
ESETs intresse och fokus fortsätter att förbli på Ke3chang-gruppen eftersom gruppen har varit ganska aktiv i företagets hemland, Slovakien. Men andra populära mål för gruppen är Belgien, Kroatien, Tjeckien i Europa. Gruppen är känd för att ha riktat sig mot Brasilien, Chile och Guatemala i Sydamerika. Ke3chang-gruppens aktiviteter indikerar att det kan vara en statligt sponsrad hackgrupp med kraftfull hårdvara och andra programverktyg som inte är tillgängliga för vanliga eller enskilda hackare. Därför kan de senaste attackerna också vara en del av en långvarig långvarig kampanj för att samla in underrättelser, konstaterade Zuzana Hromcova, forskare på ESET, "Angriparens huvudmål är sannolikt cyberspionage, det är därför de valde dessa mål."
Hur fungerar Ketrican Malware och Okrum Backdoor?
Ketricans skadliga program och Okrums bakdörr är ganska sofistikerade. Säkerhetsforskare undersöker fortfarande hur bakdörren installerades eller släpptes på de riktade maskinerna. Medan distributionen av Okrums bakdörr fortsätter att förbli ett mysterium, är dess verksamhet ännu mer fascinerande. Okrums bakdörr utför några programvarutester för att bekräfta att den inte körs i en sandlåda, vilket i huvudsak är ett säkert virtuellt utrymme som säkerhetsforskare använder för att observera skadlig programvaras beteende. Om lastaren inte får tillförlitliga resultat avslutas den helt enkelt för att undvika upptäckt och ytterligare analys.
Okrums bakdörrs metod för att bekräfta att den körs på en dator som fungerar i den verkliga världen är också ganska intressant. Lastaren eller bakdörren aktiverar vägen för att ta emot den faktiska nyttolasten efter att vänster musknapp har klickats minst tre gånger. Forskare tror att detta bekräftande test utförs främst för att säkerställa att bakdörren fungerar på verkliga, fungerande maskiner och inte virtuella maskiner eller sandlådor.
När lastaren är nöjd, ger Okrums bakdörr först full administratörsbehörighet och samlar in information om den infekterade maskinen. Den tabellerar information som datorns namn, användarnamn, värdens IP-adress och vilket operativsystem som är installerat. Därefter kräver det ytterligare verktyg. Den nya Ketrican-skadlig programvaran är också ganska sofistikerad och har flera funktioner. Det har till och med en inbyggd nedladdare samt en uppladdare. Uppladdningsmotorn används för att smygande exportera filer. Nedladdningsverktyget i skadlig programvara kan kräva uppdateringar och till och med utföra komplexa skalkommandon för att tränga djupt in i värdmaskinen.
ESET-forskare hade tidigare observerat Okrums bakdörr kunde till och med distribuera ytterligare verktyg som Mimikatz. Detta verktyg är i huvudsak en smyg-keylogger. Det kan observera och spela in tangenttryckningar och försöka stjäla inloggningsuppgifter till andra plattformar eller webbplatser.
För övrigt har forskare märkt flera likheter i kommandona som Okrum bakdörr och Ketrican malware använder för att kringgå säkerheten, bevilja förhöjda privilegier och genomföra andra olagliga aktiviteter. Den omisskännliga likheten mellan de två har lett till att forskarna tror att de två är nära besläktade. Om det inte är tillräckligt starkt, hade båda programvaran riktat sig mot samma offer, konstaterade Hromcova, ”Vi började ansluta prickarna när vi upptäckte att Okrums bakdörr användes för att släppa en Ketrican bakdörr, sammanställd 2017. Dessutom , fann vi att vissa diplomatiska enheter som drabbades av Okrum-skadlig programvara och Ketrican-bakdörrarna 2015 också påverkades av Ketrican-bakdörrar 2017. ”
De två relaterade delarna av skadlig programvara som är åtskilda år, och de ihållande aktiviteterna från Ke3changs avancerade beständiga hotgrupp indikerar att gruppen har varit lojal mot it-spionage. ESET är övertygad om, gruppen har förbättrat sin taktik och attackernas natur har ökat i sofistikering och effektivitet. Cybersäkerhetsgruppen har länge krönikerat gruppens exploateringar och har underhållit en detaljerad analysrapport.
Ganska nyligen rapporterade vi om hur en hackgrupp hade övergett sina andra olagliga onlineaktiviteter och började fokusera på cyberspionage. Det är troligt att hackgrupper kan hitta bättre möjligheter och belöningar i denna aktivitet. Med statssponserade attacker i uppväxt kan oseriösa regeringar också i hemlighet stödja grupperna och erbjuda dem benådning i utbyte av värdefulla statshemligheter.