Kalendarz SECURITY

Wrzesień 2019
P W Ś C Pt S N
26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 1 2 3 4 5 6

Partnerzy portalu

slide2 slide3 slide4

Login Form

Redaktor naczelny

piotr blaszczecPiotr Błaszczeć- specjalista ds. bezpieczeństwa IT, audytor systemów IT, Lead auditor ISO 27001, 20000, 22301 jednostki certyfikacyjnej CIs CERT i Quality Austria, biegły sądowy z zakresu przestępst przy użyciu sieci komputerowych, Administrator Bezpieczeństwa informacji w kilku podmiotach sektora prywatnego i publicznego, członek ISACA, ISSA, IIC, IIS, SABI.
e-mail:
www.blaszczec.pl

backdoorW drugiej połowie 2016 roku, eksperci z firmy ESET zidentyfikowali unikalny zestaw złośliwych narzędzi, który został użyty do przeprowadzenia ataku ukierunkowanego na instytucje finansowe na Ukrainie. Analitycy przypuszczają, że celem ataku jest cybersabotaż, a za akcją stoi ta sama grupa, która odpowiedzialna była za ataki na ukraińskie elektrownie w 2015 roku.

Ostatni atakz wykorzystaniem zagrożenia TeleBots ma wiele wspólnego z atakiem przeprowadzonym za pomocą zagrożenia BlackEnergy, którego celem padły ukraińskie przedsiębiorstwa energetyczne. Efektem operacji była kilkugodzinna przerwa w dostawach prądu do niemal miliona mieszkańców Ukrainy. Analitycy z firmy ESET podejrzewają, że tamta grupa (BlackEnergy) przekształciła się w obecną TeleBots.

Infekcja

Podobnie jak w przypadku ataków przypisywanych grupie BlackEnergy, cyberprzestępcy wykorzystują maile phishingowe z załączonymi dokumentami Microsoft Excel, które zawierają złośliwe makra. Gdy ofiara kliknie przycisk „Enable Content” (pol. włącz zawartość), Excel uruchamia złośliwe makra. Z analizy ekspertów ESET wynika, że kod makra używanego w dokumentach TeleBots pasuje do kodu makra, który został użyty przez grupę BlackEnergy w 2015. Eksperci zauważają także, że zazwyczaj złośliwe dokumenty nie zawierają istotnych informacji w metadanych, ale tym razem w metadanych dokumentu zawarty został pseudonim osoby, która była odpowiedzialna za jego modyfikację. Co więcej, nazwa użytkownika pasuje do osoby, która komunikuje się aktywnie w rosyjskojęzycznej społeczności cyberprzestępców. Trzeba jednak zaznaczyć, że może to być zbieg okoliczności.

Głównym celem złośliwego makra jest wprowadzenie do systemu kodu, który pobierze trojana Python/TeleBot.AA, a następnie go uruchomi. Po udanej infekcji sieci, atakujący korzystają z różnych złośliwych narzędzi, co pozwala im wykonać następne działania w zainfekowanej sieci LAN, a także uzyskać pełną kontrolę nad siecią poprzez zdobycie uprawnień administratora.

Jedno z takich narzędzi pozwala atakującym pozyskać informacje o komputerach i użytkownikach przechowywane w Active Directory. Kolejne narzędzie umożliwia cyberprzestępcom otwarcie tunelu w sieci wewnętrznej, który służy im do komunikacji z komputerami niepodłączonymi do Internetu. Atakujący wykorzystują także KillDisk, za pomocą którego usuwają ważne pliki z systemu, przez co nie można uruchomić komputera. Dodatkowo narzędzie usuwa pliki o zdefiniowanych rozszerzeniach i w ich miejsce tworzy nowe pliki o identycznej nazwie. Te nowe pliki zawierają jeden z dwóch łańcuchów znaków mrR0b07 (mrrobot) lub fS0cie7y (fsociety) zamiast oryginalnej zawartości. To oczywiste nawiązanie do serialu Mr. Robot – dodatkowo KillDisk wyświetla grafikę nawiązującą do tego serialu. Co ciekawe, nie jest to zdjęcie ukryte w programie, lecz grafika tworzona w czasie rzeczywistym przy pomocy specjalnie do tego celu przygotowanego kodu.  

Komunikacja przez aplikację Telegram Messenger

Atakujący komunikują się z zagrożeniem korzystając z aplikacji Telegram Messenger. Ta metoda umożliwia kontrolę nad zainfekowanymi komputerami za pośrednictwem dowolnego urządzenia z zainstalowaną aplikacją Telegram Messenger. Polecenia wydaje się za pośrednictwem czatu. Dzięki temu atakujący mogą pozyskać zrzuty ekranu, informacje o wersji systemu, wysyłać pliki z zainfekowanego urządzenia poprzez czat, pobierać zdjęcia z zainfekowanego systemu i wykonywać dowolne polecenia. Ponadto, złośliwe oprogramowanie automatycznie zapisuje wszystkie pliki przychodzące.  

[źródło: ESET]

Dodaj komentarz


Kod antyspamowy
Odśwież