Pratite nas preko RSS-aNovi sajber špijun, backdoor GreyEnergy
Opisi virusa, 03.12.2018, 00:00 AM
Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) grupe GreyEnergy. Backdoor dospeva na ciljane računare koristeći fišing kao vektor infekcije.
GreyEnergy je napao i infiltrirao mreže nekoliko važnih infrastrukturnih ciljeva u Istočnoj Evropi, od Poljske do Ukrajine.
Prema rečima istraživača kompanije ESET, GreyEnergy je najverovatnije naslednik grupe BlackEnergy koja je poznata po sajber-špijunaži. Grupa stoji iza razvoja prethodnika malvera NotPetya, nazvanog Moonraker Petya. Reč je o verziji ransomwarea Petya koja ima jednu osobenost - sposobnost širenja pomoću EternalBlue exploita.
Iako je GreyEnergy dao sve od sebe da ostane nezapažen od prvog pojavljivanja 2015. godine, malveri ove grupe primećeni su tokom napada na više ukrajinskih mreža.
Kao što je otkrio Di Pinto, napadi GreyEnergy počinju običnim spear-fišing kampanjama u kojima se koriste maliciozno napravljeni Word dokumenti dizajnirani da ciljaju određene ljude u organizaciji u koju grupa želi da se infiltrira.
Dokument je napisan na ukrajinskom jeziku, a dolazi sa poznatim makro upozorenjima koja se prikazuju za sve takve maliciozne fajlove prilikom njihovog otvaranja. Grupa zaobilazi ovu prepreku tražeći od korisnika da kliknu na dugme "Omogući sadržaj" u poruci upozorenja, ako žele da vide sadržaj dokumenta.
Kada se klikne na dugme “Enable Content”, GreyEnergy malver se ekstrahuje a zatim preuzima i učitava dropper modul u sistemsku memoriju, koji se koristi u sledećoj fazi infekcije da bi se cilj inficirao backdoorom. Backdoor će se se smestiti u folder %APPDATA%/Microsoft/.
Da bi backdoor obezbedio opstanak na sistemu, dodaje se u Windows Startup folder.
GreyEnergyjev backdoor ima modularnu arhitekturu koja omogućava APT grupi da brzo proširuje svoje mogućnosti i prilagođava malver svakom cilju, što olakšava krađu podataka, keylogging i interakciju sa bazom podataka.
Inficirani računari se dodaju u peer-to-peer mrežu dizajniranu tako da omogućava brzu međusobnu komunikaciju između svih ciljeva koje je infiltrirao GreyEnergy. Da bi se smanjio rizik od detekcije koristi se jedan bot za komunikaciju sa komandno-kontrolnim serverima.
Izdvojeno
Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška
Istraživači kompanije Barracuda upozorili su na novu scareware prevaru pod nazivom „CypherLoc“, koja koristi iskačuće prozore i lažn... Dalje
Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike
Istraživači kompanije SentinelOne upozorili su na novu pretnju pod nazivom Reaper, infostealer malver za macOS koji se predstavlja kao legitimno sis... Dalje
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Pratite nas
Nagrade
Prijatelji
