Pratite nas preko RSS-aStručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan
Opisi virusa, 26.08.2013, 10:17 AM
Osam godina pošto se prvi put pojavio, hakerski alat za daljinski pristup kompromitovanim računarima (RAT, Remote Access Tool) Poison Ivy je i dalje popularan i delotvoran, iako je reč o Trojancu koji je dobro poznat u krugovima stručnjaka za kompjutersku bezbednost.
Uprkos reputaciji softvera za hakere početnike koju imaju ovakvi alati za daljinski pristup, oni su i dalje okosnica mnogih sofisticiranih sajber napada. Uz malo tehničkog znanja, RAT omogućavaju neometan pristup kompromitovanim računarima. Ovakvi alati su često ključna komponenta koordinisanih napada u kojima se koriste ranije nepoznate (0-day) ranjivosti u softveru i tehnike društvenog inženjeringa.
Prisustvo RAT na računaru može biti znak da je reč o ciljanom napadu koji se u stručnim krugovima naziva ATP (advanced persistent threat), ali s obzirom na široku upotrebu ovih alata najčešće nije lako proceniti o kakvom napadu se radi.
Dokument koji je objavila firma FireEye analizira aktivnosti ozloglašenog alata Poison Ivy koji se uspešno koristio u brojnim sajber operacijama čije su mete bile vlade, kompanije i borci za ljudska prava. Poison Ivy je ostao upamćen najviše po napadu na RSA 2011. godine koji je kompaniju koštao 66 miliona dolara koliko je bilo potrebno za zamenu SecurID tokena korisnika.
Poison Ivy, koji se može slobodno preuzeti sa zvaničnog web sajta www.poisonivy-rat.com,je jedan od najčešće korišćenih alata za daljinski pristup kompromitovanim računarima. Svoju popularnost u kriminalnim krugovima ovaj RAT duguje pre svega tome što se njima upravlja preko svima dobro poznatog Windows-ovog interfejsa, kao i činjenici da napadačima nudi brojne mogućnosti: beleženje aktivnosti korisnika na tastaturi, snimanje ekrana, snimanje videa, transfer fajlova, krađu lozinki, upravljanje sistemom i druge zlonamerne aktivnosti. RAT zahetva živu, direktnu interakciju u realnom vremenu sa napadačem. To ga razlikuje od drugih malvera koji su fokusirani na sajber kriminal. Zato prisustvo RAT na računaru može biti znak da imate posla sa napadačem koji je isključivo zainteresovan za kompaniju ili organizaciju u kojoj radite.
FireEye je prikupio 194 uzorka malvera Poisom Ivy koji su korišćeni u ciljanim napadima u periodu između 2008. i 2013. godine. Stručnjaci FireEye su infekcije ovim malverom povezali sa aktivnostima tri grupe: Admin@338, Th3bug i MenuPass. Grupe su dobile imena po lozinkama koje su korišćene za pristup Poison Ivy alatu onda kada bi on bio instaliran na kompromitovanim računarima.
Hakeri grupe Admin@338 koristili su Poison Ivy u ATP napadima od janura 2008., i u spear fišing napadima na finansijske organizacije, ali i telekomunikacijske kompanije, vlasti i sektor odbrane.
Grupa Th3bug je uglavnom napadala sektor visokog obrazovanja i zdravstva, počev od oktorbra 2009. godine, inficirajući web sajtove koje žrtve najčešće posećuju.
MenuPass je takođe koristio spear fišing emailove koji su posebno dizajnirani za napad na određene zaposlene u organizacijama i kompanijama, koje je trebalo na prevaru naterati da kliknu na maliciozne linkove ili fajlove u emailovima. Aktivnosti grupe MenuPass započele su 2009. godine, a napadi su dolazili iz Kine, dok su mete napada bile američki i drugi inostrani preduzimači u sektoru odbrane.
FireEye je objavio paket alata pod nazivom Calamine koji omogućava profesionalcimada prate ponašanje i komunikacije RAT. Paket Calamine koji je razvijen sa ciljem da osujeti dugotrajne kampanje špijunaže, sastoji se od alata koji dešifruje komunikaciju RAT alata tako da oni koji su zaduženi za bezbednost mreža u organizacijama i kompanijama mogu da razumeju komande operatera koji kontrolišu kompromitovane računare, kao i da steknu uvid u profil napadača, ali i da dobiju informacije o konfiguracionim fajlovima koji se koriste u napadu.
Iz FireEye kažu da njihov alat treba da pomogne žrtvama napada da razlikuju sporadične infekcije od perzistentne kampanje napada čiji je cilj krađa podataka kompanije ili organizacije.
Više detalja o ovome možete naći u dokumentu (PDF) koji je objavio FreEye.
Izdvojeno
Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer
Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami po... Dalje
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Pratite nas
Nagrade
Prijatelji
