Pratite nas preko RSS-aFlame: Poreklo, infrastruktura i taktika autora malvera
Vesti, 05.06.2012, 10:39 AM
Stručnjaci Kaspersky Laba i registara domena Go Daddy i OpenDNS su tokom pokušaja da onemoguće pristup internetu računarima zaraženim kompjuterskim crvom Flame otkrili veliku i kompleksnu komandnu i kontrolnu infrastrukturu malvera koju čini više od 80 veb domena i sakupili dokaze da je novootkriveni malver star najmanje tri godine.
Dokazi koje su prikupili istraživači koji su analizirali tajanstveni malver ukazuju da je malver aktivan od 2008. godine i da se oslanjao na ogromnu mrežu sačinjenu od više od 80 komandnih i kontrolnih veb domena sa kojih dolaze instrukcije za malver za koji stručnjaci veruju da se koristi kao alat sajber špijunaže.
Analiza malvera ukazuje i na značajne razlike između malvera Flame i prethodnika, malvera Stuxnet i Duqu. Primera radi, dok su autori Duqu malvera nastojali da prikriju izvor kontrolnih skripti, centralni komandni i kontrolni server, autori Flame-a su bili nešto manje obazrivi ne trudeći se previše da sakriju svoje aktivnosti.
Autori Flame-a su takođe platili i registrovali sopstvene veb domene umesto da za kontrolu malvera koriste prethodno kompomitovane domene kao što su to činili autori malvera Duqu. Domeni Flame-a registrovani su sa lažnim imenima kao što su Adrien Leroy, Ivan Bix i Maria Weber. Uz lažne identitete, napadači su dali i lažne podatke o nepostojećim adresama u Nemačkoj i Austriji, pri čemu se najveći broj lažnih adresa nalazi u Beču.
Odluka da registruju “čiste” domene omogućila je istraživačima da prate tragove malvera do 2008. godine, odnosno do trenutka za koji oni veruju da predstavlja početak kampanje distribucije ovog malvera. Domeni o kojima je reč nisu povezani ni sa čim osim sa aktivnostima malvera Flame.
Iako je korišćenje “čistih” domena olakšalo posao istraživačima, takva odluka napadača nije slučajnost, smatraju stručnjaci. S obzirom da domeni nisu zaraženi drugim malverima, autori Flame-a su verovatno računali sa tim da će malver proći neopaženo kada je reč o antivirusnom softveru u organizacijama koje su se našle na meti napadača.
Grupa istraživača je uspešno preusmerila zahteve koji dolaze od zaraženih sistema ka DNS sinkhole, odnosno IP adresama koje nisu povezane sa malverom.
Podaci koje su prikupili istraživači pokazuju da je broj sistema zaraženih Flame-om veoma mali i da je dnevni saobraćaj koji dolazi od zaraženih sistema veoma niskog nivoa - svega 300 do 400 zahteva dnevno. Prema podacima Kaspersky Security Network od 359 zaraženih sistema u Iranu se nalazi najveći broj, njih 185, a zatim slede Izrael i Palestina sa po 95, Sudan sa 32, Sirija sa 29 i Libanon sa 18 sistema na kojima je otkriven Flame.
Izdvojeno
Chrome ekstenzije prikupljale podatke 37 miliona korisnika
Istraživanje bezbednosnog istraživača Q Continuum otkriva da 287 popularnih Chrome ekstenzija prikuplja i deli podatke o istoriji pretraživanja ok... Dalje
Hakeri zloupotrebljavaju Google Ads i Claude AI za širenje MacSync malvera
Istraživači iz Moonlock Lab-a otkrili su novu ClickFix kampanju u kojoj napadači koriste kompromitovane Google Ads naloge i lažne Claude AI vodič... Dalje
Apple sa iOS 26.3 zakrpio ranjivost iskorišćenu u ciljanim hakerskim napadima
Apple je objavio bezbednosna ažuriranja za čitavu svoju liniju proizvoda, uključujući iOS, iPadOS, macOS, tvOS, watchOS i visionOS, kako bi otklon... Dalje
Lažne AI ekstenzije za Chrome špijuniraju korisnike
Istraživači kompanije LayerX otkrili su zlonamernih 30 Chrome ekstenzija, maskiranih kao AI asistenti, koje su instalirane više od 260.000 puta. Ek... Dalje
Discord će sve korisnike tretirati kao maloletne dok ne prođu proces verifikacije uzrasta
Platforma Discord najavila je novu bezbednosnu politiku prema kojoj će svi korisnici, podrazumevano, biti tretirani kao tinejdžeri dok ne prođu pro... Dalje
Pratite nas
Nagrade
Prijatelji
