Pratite nas preko RSS-aEkonomska špijunaža: Misteriozni malver ''Divlji Neutron'' se ponovo vratio, sada ima nove trikove i nove žrtve
Vesti, 10.07.2015, 00:30 AM
Hakerska grupa koju je kompanija Kaspersky Lab identifikovala kao „Divlji Neutron” (a koja je poznata i kao „Jripbot” i „Morpho”) napala je 2013. godine nekoliko kompanija visokog profila među kojima su Apple, Facebook, Twitter i Microsoft. Nakon velikog publiciteta koji je izazvao ovaj incident, malver nije bio aktivan skoro godinu dana. Krajem 2013. i početkom 2014. godine, napadi su ponovo postali aktuelni i nastavili su se čak i u 2015. godini. Ova pretnja koristi ukradeni sertifikat za verifikaciju šifara i nepoznatu ranjivost Flash Playera kako bi inficirala kompanije i pojedinačne korisnike širom sveta i ukrala od njih poverljive poslovne informacije.
Istraživači iz kompanije Kaspersky Lab su uspeli da identifikuju mete napada ove pretnje u 11 zemalja uključujući i Francusku, Rusiju, Švajcarsku, Nemačku, Austriju, Palestinu, Sloveniju, Kazahstan, Ujedinjene Arapske Emirate, Alžir i Sjedinjene Američke Države. Među metama su bile advokatske kancelarije, kompanije koje posluju sa bitcoinima, organizacije koje se bave investicijama, IT kompanije, zdravstvene ustanove, kompanije za nekretnine, grupe velikih kompanija koje su često uključene u poslove spajanja i akvizicija, kao i pojedinačni korisnici.
Osnovni fokus ovih napada ukazuje na to ih nije finansirala nijedna država. Međutim, korišćenje malvera nultog dana za više platformi kao i druge tehnike koje su identifikovali stručnjaci u kompaniji Kaspersky Lab ukazuje na to da je u proces špijunaže uključena neka jaka strana, i da su motivi verovatno ekonomske prirode.
Vektor prvobitne infekcije nedavnih napada je i dalje nepoznat, ali postoje jasne indicije da su žrtve napdnute pomoću alata koji koriste nepoznatu ranjivost Flash Playera preko kompromitovanih web sajtova. Na ovaj način se na računar žrtve prenosi paket sa malverom.
U napadima koje su posmatrali istraživači iz kompanije Kaspersky Lab, „dropper“ program je bio potpisan legitimnim sertifikatom za verifikaciju šifara. Korišćenje sertifikata omogućava da se izbegne detekcija određenih programa za zaštitu. Sertifikat koji je korišćen u napadima grupe Divlji Neutron je ukraden od jednog poznatog proizvođača električnih uređaja. Ovaj sertifikat je sada ukinut.
Nakon što je dospeo u sistem, „dropper“ na računar instalira glavni backdoor program.
Kada je u pitanju funkcionalnost, glavni backdoor program se ne razlikuje od mnogih drugih alata za daljinski pristup (RAT). Ono što se zapravo ističe jeste želja napadača da sakrije adresu komandnog i kontrolnog servera (C&C) i njegova sposobnost da se oporavi nakon obaranja. Komandni i kontrolni server je bitan deo maliciozne infrastrukture pošto se koristi kao „baza“ za malver koji se nalazi na računarima žrtava. Specijalne mere koje su ugrađene u malver pomažu napadačima da zaštite infrastrukturu od mogućih pokušaja obaranja komandnog i kontrolnog servera.
Poreklo ovih napadača je i dalje misterija. U nekim situacija, kodirana konfiguracija je sadržala niz znakova koji predstavljaju izraz „La revedere” („Doviđenja” na rumunskom) kako bi označila kraj C&C komunikacije. Pored toga, istraživači iz kompanije Kaspersky Lab su otkrili još jedan strani niz znakova koji predstavlja latinsku transkripciju ruske reči „Успешно” („uspeshno" -> „uspešno").
„Divlji Neutron je vešta i prilagodljiva hakerska grupa. Ona je aktivna još od 2011. godine i koristila je makar jednu ranjivost nultog dana, posebno napravljen malver i alate za Windows i OS X. Iako je u prošlosti napadala neke od najpoznatijih svetskih kompanija, uspela je da ostane relativno neprimetna pomoću dobre operativne bezbednosti koja je do sada uglavnom onemogućavala da se grupa poveže sa konkretnim napadima. Činjenica da je ova grupa napadala najveće IT kompanije, proizvođače spyware programa (FlexiSPY), džihadističke forume („Ansar Al-Mujahideen English Forum”) i Bitcoin kompanije ukazuje na to da je ona jako fleksibilna i da ima neobičan mentalitet i interesovanja”, izjavio je Kostin Raju, direktor globalnog tima za istraživanje i razvoj u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver koji koristi hakerska grupa Divlji Neutron sa imenima Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*, Trojan.Win32.Generic.
Više o svemu ovome možete saznati na blogu Kaspersky Laba, Securelist.com.
Izdvojeno
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova
Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje
Pratite nas
Nagrade
Prijatelji
