Novi sajber špijun, backdoor GreyEnergy
Opisi virusa, 03.12.2018, 00:00 AM

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) grupe GreyEnergy. Backdoor dospeva na ciljane računare koristeći fišing kao vektor infekcije.
GreyEnergy je napao i infiltrirao mreže nekoliko važnih infrastrukturnih ciljeva u Istočnoj Evropi, od Poljske do Ukrajine.
Prema rečima istraživača kompanije ESET, GreyEnergy je najverovatnije naslednik grupe BlackEnergy koja je poznata po sajber-špijunaži. Grupa stoji iza razvoja prethodnika malvera NotPetya, nazvanog Moonraker Petya. Reč je o verziji ransomwarea Petya koja ima jednu osobenost - sposobnost širenja pomoću EternalBlue exploita.
Iako je GreyEnergy dao sve od sebe da ostane nezapažen od prvog pojavljivanja 2015. godine, malveri ove grupe primećeni su tokom napada na više ukrajinskih mreža.
Kao što je otkrio Di Pinto, napadi GreyEnergy počinju običnim spear-fišing kampanjama u kojima se koriste maliciozno napravljeni Word dokumenti dizajnirani da ciljaju određene ljude u organizaciji u koju grupa želi da se infiltrira.
Dokument je napisan na ukrajinskom jeziku, a dolazi sa poznatim makro upozorenjima koja se prikazuju za sve takve maliciozne fajlove prilikom njihovog otvaranja. Grupa zaobilazi ovu prepreku tražeći od korisnika da kliknu na dugme "Omogući sadržaj" u poruci upozorenja, ako žele da vide sadržaj dokumenta.
Kada se klikne na dugme “Enable Content”, GreyEnergy malver se ekstrahuje a zatim preuzima i učitava dropper modul u sistemsku memoriju, koji se koristi u sledećoj fazi infekcije da bi se cilj inficirao backdoorom. Backdoor će se se smestiti u folder %APPDATA%/Microsoft/.
Da bi backdoor obezbedio opstanak na sistemu, dodaje se u Windows Startup folder.
GreyEnergyjev backdoor ima modularnu arhitekturu koja omogućava APT grupi da brzo proširuje svoje mogućnosti i prilagođava malver svakom cilju, što olakšava krađu podataka, keylogging i interakciju sa bazom podataka.
Inficirani računari se dodaju u peer-to-peer mrežu dizajniranu tako da omogućava brzu međusobnu komunikaciju između svih ciljeva koje je infiltrirao GreyEnergy. Da bi se smanjio rizik od detekcije koristi se jedan bot za komunikaciju sa komandno-kontrolnim serverima.

Izdvojeno
Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje
Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje
Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje
Malver StripedFly zarazio više od milion računara
.jpg)
Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje
Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje
Pratite nas
Nagrade