Pratite nas preko RSS-aNovi sajber špijun, backdoor GreyEnergy
Opisi virusa, 03.12.2018, 00:00 AM
Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) grupe GreyEnergy. Backdoor dospeva na ciljane računare koristeći fišing kao vektor infekcije.
GreyEnergy je napao i infiltrirao mreže nekoliko važnih infrastrukturnih ciljeva u Istočnoj Evropi, od Poljske do Ukrajine.
Prema rečima istraživača kompanije ESET, GreyEnergy je najverovatnije naslednik grupe BlackEnergy koja je poznata po sajber-špijunaži. Grupa stoji iza razvoja prethodnika malvera NotPetya, nazvanog Moonraker Petya. Reč je o verziji ransomwarea Petya koja ima jednu osobenost - sposobnost širenja pomoću EternalBlue exploita.
Iako je GreyEnergy dao sve od sebe da ostane nezapažen od prvog pojavljivanja 2015. godine, malveri ove grupe primećeni su tokom napada na više ukrajinskih mreža.
Kao što je otkrio Di Pinto, napadi GreyEnergy počinju običnim spear-fišing kampanjama u kojima se koriste maliciozno napravljeni Word dokumenti dizajnirani da ciljaju određene ljude u organizaciji u koju grupa želi da se infiltrira.
Dokument je napisan na ukrajinskom jeziku, a dolazi sa poznatim makro upozorenjima koja se prikazuju za sve takve maliciozne fajlove prilikom njihovog otvaranja. Grupa zaobilazi ovu prepreku tražeći od korisnika da kliknu na dugme "Omogući sadržaj" u poruci upozorenja, ako žele da vide sadržaj dokumenta.
Kada se klikne na dugme “Enable Content”, GreyEnergy malver se ekstrahuje a zatim preuzima i učitava dropper modul u sistemsku memoriju, koji se koristi u sledećoj fazi infekcije da bi se cilj inficirao backdoorom. Backdoor će se se smestiti u folder %APPDATA%/Microsoft/.
Da bi backdoor obezbedio opstanak na sistemu, dodaje se u Windows Startup folder.
GreyEnergyjev backdoor ima modularnu arhitekturu koja omogućava APT grupi da brzo proširuje svoje mogućnosti i prilagođava malver svakom cilju, što olakšava krađu podataka, keylogging i interakciju sa bazom podataka.
Inficirani računari se dodaju u peer-to-peer mrežu dizajniranu tako da omogućava brzu međusobnu komunikaciju između svih ciljeva koje je infiltrirao GreyEnergy. Da bi se smanjio rizik od detekcije koristi se jedan bot za komunikaciju sa komandno-kontrolnim serverima.
Izdvojeno
Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih
Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje
Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru
Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje
Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer
Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje
Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa
Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje
Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači
Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje