Pratite nas preko RSS-aNovi sajber špijun, backdoor GreyEnergy
Opisi virusa, 03.12.2018, 00:00 AM
Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) grupe GreyEnergy. Backdoor dospeva na ciljane računare koristeći fišing kao vektor infekcije.
GreyEnergy je napao i infiltrirao mreže nekoliko važnih infrastrukturnih ciljeva u Istočnoj Evropi, od Poljske do Ukrajine.
Prema rečima istraživača kompanije ESET, GreyEnergy je najverovatnije naslednik grupe BlackEnergy koja je poznata po sajber-špijunaži. Grupa stoji iza razvoja prethodnika malvera NotPetya, nazvanog Moonraker Petya. Reč je o verziji ransomwarea Petya koja ima jednu osobenost - sposobnost širenja pomoću EternalBlue exploita.
Iako je GreyEnergy dao sve od sebe da ostane nezapažen od prvog pojavljivanja 2015. godine, malveri ove grupe primećeni su tokom napada na više ukrajinskih mreža.
Kao što je otkrio Di Pinto, napadi GreyEnergy počinju običnim spear-fišing kampanjama u kojima se koriste maliciozno napravljeni Word dokumenti dizajnirani da ciljaju određene ljude u organizaciji u koju grupa želi da se infiltrira.
Dokument je napisan na ukrajinskom jeziku, a dolazi sa poznatim makro upozorenjima koja se prikazuju za sve takve maliciozne fajlove prilikom njihovog otvaranja. Grupa zaobilazi ovu prepreku tražeći od korisnika da kliknu na dugme "Omogući sadržaj" u poruci upozorenja, ako žele da vide sadržaj dokumenta.
Kada se klikne na dugme “Enable Content”, GreyEnergy malver se ekstrahuje a zatim preuzima i učitava dropper modul u sistemsku memoriju, koji se koristi u sledećoj fazi infekcije da bi se cilj inficirao backdoorom. Backdoor će se se smestiti u folder %APPDATA%/Microsoft/.
Da bi backdoor obezbedio opstanak na sistemu, dodaje se u Windows Startup folder.
GreyEnergyjev backdoor ima modularnu arhitekturu koja omogućava APT grupi da brzo proširuje svoje mogućnosti i prilagođava malver svakom cilju, što olakšava krađu podataka, keylogging i interakciju sa bazom podataka.
Inficirani računari se dodaju u peer-to-peer mrežu dizajniranu tako da omogućava brzu međusobnu komunikaciju između svih ciljeva koje je infiltrirao GreyEnergy. Da bi se smanjio rizik od detekcije koristi se jedan bot za komunikaciju sa komandno-kontrolnim serverima.
Izdvojeno
Novi trojanac BloodyStealer krade Epic Games i Steam naloge
Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje
Opasni bankarski trojanac u Google oglasima u rezultatima pretrage
Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje
Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera
Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje
Novi trojanac FatalRAT širi se preko Telegrama
Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje
Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux
LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje
Pratite nas
Nagrade
Prijatelji
