Újabb állami malware-t fedeztek fel a Kaspersky kutatói

Újabb állami malware-t fedeztek fel a Kaspersky kutatói
2021. december 09. 09:06E-volution
Egy közelmúltbéli vizsgálat során a Kaspersky kutatói felfedeztek egy korábban ismeretlen, Chinotto névre keresztelt malware-t, mely az észak-koreai disszidenseket és emberjogi aktivistákat veszi célba. A PowersShellbe, futtatható Windows-fájlokba és Androidos alkalmazásokba beépített malware-t egy fejlett állandó fenyegetéseket (APT) alkalmazó csoport, a ScarCruft működteti. A malware-rel át tudják venni az irányítást a célpontok eszközei felett, és érzékeny információkat tudnak kinyerni belőlük. Sőt, az áldozat kapcsolataira vonatkozó információkat is megpróbáltak begyűjteni, majd az áldozat feltört közösségi hálózatát és e-mail-fiókját használva a kapcsolatok támadását is megkísérelték.

A ScarCruft csoport egy fejlett állandó fenyegetéseket (APT) alkalmazó, nemzetállam által szponzorált támadócsoport, amely arról ismert, hogy főként a Koreai-félszigethez kapcsolódó kormányzati szervezeteket, észak-koreai disszidenseket és helyi újságírókat figyel meg. A Kasperskyt nemrégiben egy helyi hírszolgáltató kereste meg azzal a kéréssel, hogy nyújtsanak nekik műszaki segítséget a kiberbiztonsági vizsgálataikhoz, így a kutatóknak alkalmuk nyílt mélyrehatóbban megvizsgálni egy ScarCruft által feltört számítógépet. A Kaspersky szakemberei a helyi vészhelyzet-elhárító csapattal együttműködve vizsgálták meg a támadók parancs- és vezérlő infrastruktúráját. Az elemzés során a szakemberek egy alaposan kidolgozott, célzott kampányt fedeztek fel, amelyet a ScarCruft csoport az Észak-Koreához kapcsolódó felhasználókra összpontosított.

A vizsgálat eredményeképpen a Kaspersky szakértői felfedeztek egy Chinotto névre keresztelt rosszindulatú futtatható Windows-fájlt. A malware három verzióban érhető el: PowerShell, futtatható Windows-fájl és Androidos alkalmazás. Mind a három verzió hasonló, HTTP kommunikáción alapuló parancs- és vezérlősémát használ. Ez azt jelenti, hogy a malware működtetői az egész malware-családot egyetlen parancs- és vezérlőszkript-készlettel tudják vezérelni.

Az áldozat számítógépének és telefonjának egyidejű megfertőzésekor a malware működtetője ki tudja küszöbölni a kéttényezős hitelesítést az üzenetküldőkben vagy a levelezésben, mégpedig úgy, hogy ellopja az SMS-eket a telefonról. Ezt követően a működtető már bármilyen őt érdeklő információt el tud lopni és folytatni tudja a támadásokat, például az áldozat ismerősei vagy üzleti partnerei ellen.

A malware egyik jellemzője, hogy rengeteg szemétkódot tartalmaz az elemzés akadályozása érdekében. Megtölti a puffert jelentéktelen adatokkal és sohasem használja őket.

A vizsgált számítógépet PowerShell malware-rel fertőzték meg, és a Kaspersky szakemberei bizonyítékot találtak arra, hogy a támadó már ellopta az áldozat adatait, és már hónapok óta nyomon követi a cselekedeteit. Bár a Kaspersky szakértői nem tudják pontosan megbecsülni az ellopott adatok mennyiségét és jellegét, azt tudják, hogy a malware működtetője 2021. júliusában és augusztusában képernyőfotókat gyűjtött be, és azokból nyert ki adatokat.

A támadó valamilyen csalit tartalmazó adathalász e-mailt küld a rosszindulatú fájl terjesztéséhez

A támadó először az áldozat ellopott Facebook-fiókja segítségével kapcsolatba lépett az áldozat egyik ismerősével, akinek szintén egy Észak-Koreához köthető vállalkozása van. Ezt követően a kapcsolatot felhasználva információkat gyűjtött az ismerős tevékenységeiről, majd később megtámadta őt egy célzott adathalász e-maillel, amely egy rosszindulatú Word-dokumentumot tartalmazott a következő címmel: „A legfrissebb észak-koreai helyzet és nemzetbiztonságunk”.

A dokumentum egy rosszindulatú makrót és egy payloadot tartalmazott egy többlépcsős támadási folyamat elindításához. Az első lépcsőben a makró ellenőrzi, hogy van-e Kaspersky biztonsági megoldás az áldozat gépén. Ha feltelepül a rendszerre, a makró megbízható hozzáférést tesz lehetővé a Visual Basic alkalmazás (VBA) számára. Ennek eredményeképpen a Microsoft Office minden makróban meg fog bízni, és minden kódot lefuttat anélkül, hogy biztonsági figyelmeztetést jelenítene meg, vagy a felhasználó engedélyét kérné. Amennyiben a gépre nincs Kaspersky biztonsági szoftver telepítve, a makró egyenesen továbblép a következő lépcső payloadjának dekódolására. A támadók később, a kezdeti fertőzés után a Chinotto malware-t is telepítették, így át tudták venni az irányítást az áldozatok gépei felett, és érzékeny információkat tudtak kinyerni belőlük.

Az elemzés során a Kaspersky szakemberei másik négy, szintén Dél-Koreában található áldozatot is beazonosítottak, valamint feltört webszervereket is találtak, melyeket már 2021 eleje óta használtak. A kutatás szerint a fenyegetés célpontjai személyek, nem pedig konkrét vállalatok vagy szervezetek.

„Sok újságíró, disszidens és emberjogi aktivista válik kifinomult kibertámadások célpontjává. Ugyanakkor általában nem rendelkeznek a megfelelő eszközökkel az ilyen megfigyeléses támadások elleni védekezéshez, illetve azok elhárításához. Ez a kutatás is jól mutatja, milyen fontos az, hogy a biztonsági szakértők megosszák az ismereteiket, és olyan új típusú biztonsági megoldásokba ruházzanak be, amelyek fel tudják venni a harcot az ilyen jellegű fenyegetések ellen. Mindemellett a helyi vészhelyzet-elhárító csapattal folytatott együttműködésünk egyedi betekintést engedett számunkra a ScarCruft infrastruktúrájába és műszaki jellemzőibe, ami reményeim szerint javítani fog a támadásaik elleni védekezésünk biztonságán” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

A ScarCrufttal foglalkozó teljes jelentés a Securelist oldalon olvasható.

A Kaspersky a következőket javasolja az ilyen jellegű fenyegetések elleni védekezéshez:

●      Csak megbízható weboldalakról töltsön le alkalmazásokat és programokat.

●      Ne felejtse el rendszeresen frissíteni az operációs rendszerét és minden szoftverét. A frissített szoftververziók telepítésével számos biztonsági probléma megoldható.

●      Minden e-mail mellékletet alapból tekintsen gyanúsnak. Mielőtt rákattint egy csatolmányra a megnyitáshoz, vagy mielőtt rákattint egy linkre, alaposan gondolja végig a következőket: Olyan valakitől érkezett, akit ismerek és akiben megbízom, vártam-e, tiszta-e? Vigye az egérmutatót a link vagy a csatolmány fölé, és nézze meg, mi a neve, vagy hogy hova visz valójában.

●      Ne telepítsen ismeretlen forrásból származó szoftvereket, ugyanis tartalmazhatnak, és sokszor tartalmaznak is rosszindulatú fájlokat.

●      Minden számítógépén és mobil eszközén használjon erős biztonsági megoldást, például a következőket: Kaspersky Internet Security for Android vagy Kaspersky Total Security.

A szervezetek védelméhez a Kaspersky a következőket javasolja:

●      Készítsenek szabályzatot a nem vállalati szoftverek használatára vonatkozóan. Világosítsák fel az alkalmazottakat arról, hogy milyen kockázatokkal jár a nem engedélyezett alkalmazások nem megbízható forrásokból való letöltése.

●      Részesítsék a munkavállalókat kiberbiztonsági alapismeretekkel foglalkozó képzésben, hiszen számos célzott támadás indul adathalászattal vagy más pszichológiai manipulációs technikákkal.

●      Telepítsenek APT elleni és EDR megoldásokat, amelyek lehetővé teszik a fenyegetések felfedezését és észlelését, valamint az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést. A fentiek mindegyike elérhető a Kaspersky Expert Security keretrendszerében.

●      A megfelelő végpontvédelem mellett speciális szolgáltatások is segítséget nyújthatnak a nagy horderejű támadások kivédésében. Kaspersky Managed Detection and Response szolgáltatása már a korai szakaszban felismeri és megállítja a támadásokat még mielőtt a támadók elérhetnék a céljaikat.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!

Címkék: Kaspersky
E-volution