Novi sajber špijun, backdoor GreyEnergy

Opisi virusa, 03.12.2018, 00:00 AM

Novi sajber špijun, backdoor GreyEnergy

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) grupe GreyEnergy. Backdoor dospeva na ciljane računare koristeći fišing kao vektor infekcije.

GreyEnergy je napao i infiltrirao mreže nekoliko važnih infrastrukturnih ciljeva u Istočnoj Evropi, od Poljske do Ukrajine.

Prema rečima istraživača kompanije ESET, GreyEnergy je najverovatnije naslednik grupe BlackEnergy koja je poznata po sajber-špijunaži. Grupa stoji iza razvoja prethodnika malvera NotPetya, nazvanog Moonraker Petya. Reč je o verziji ransomwarea Petya koja ima jednu osobenost - sposobnost širenja pomoću EternalBlue exploita.

Iako je GreyEnergy dao sve od sebe da ostane nezapažen od prvog pojavljivanja 2015. godine, malveri ove grupe primećeni su tokom napada na više ukrajinskih mreža.

Kao što je otkrio Di Pinto, napadi GreyEnergy počinju običnim spear-fišing kampanjama u kojima se koriste maliciozno napravljeni Word dokumenti dizajnirani da ciljaju određene ljude u organizaciji u koju grupa želi da se infiltrira.

Dokument je napisan na ukrajinskom jeziku, a dolazi sa poznatim makro upozorenjima koja se prikazuju za sve takve maliciozne fajlove prilikom njihovog otvaranja. Grupa zaobilazi ovu prepreku tražeći od korisnika da kliknu na dugme "Omogući sadržaj" u poruci upozorenja, ako žele da vide sadržaj dokumenta.

Kada se klikne na dugme “Enable Content”, GreyEnergy malver se ekstrahuje a zatim preuzima i učitava dropper modul u sistemsku memoriju, koji se koristi u sledećoj fazi infekcije da bi se cilj inficirao backdoorom. Backdoor će se se smestiti u folder %APPDATA%/Microsoft/.

Da bi backdoor obezbedio opstanak na sistemu, dodaje se u Windows Startup folder.

GreyEnergyjev backdoor ima modularnu arhitekturu koja omogućava APT grupi da brzo proširuje svoje mogućnosti i prilagođava malver svakom cilju, što olakšava krađu podataka, keylogging i interakciju sa bazom podataka.

Inficirani računari se dodaju u peer-to-peer mrežu dizajniranu tako da omogućava brzu međusobnu komunikaciju između svih ciljeva koje je infiltrirao GreyEnergy. Da bi se smanjio rizik od detekcije koristi se jedan bot za komunikaciju sa komandno-kontrolnim serverima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi sajber špijun, backdoor GreyEnergy

Novi sajber špijun, backdoor GreyEnergy

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) gr... Dalje

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje