Stručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan

Opisi virusa, 26.08.2013, 10:17 AM

Stručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan

Osam godina pošto se prvi put pojavio, hakerski alat za daljinski pristup kompromitovanim računarima (RAT, Remote Access Tool) Poison Ivy je i dalje popularan i delotvoran, iako je reč o Trojancu koji je dobro poznat u krugovima stručnjaka za kompjutersku bezbednost.

Uprkos reputaciji softvera za hakere početnike koju imaju ovakvi alati za daljinski pristup, oni su i dalje okosnica mnogih sofisticiranih sajber napada. Uz malo tehničkog znanja, RAT omogućavaju neometan pristup kompromitovanim računarima. Ovakvi alati su često ključna komponenta koordinisanih napada u kojima se koriste ranije nepoznate (0-day) ranjivosti u softveru i tehnike društvenog inženjeringa.

Prisustvo RAT na računaru može biti znak da je reč o ciljanom napadu koji se u stručnim krugovima naziva ATP (advanced persistent threat), ali s obzirom na široku upotrebu ovih alata najčešće nije lako proceniti o kakvom napadu se radi.

Dokument koji je objavila firma FireEye analizira aktivnosti ozloglašenog alata Poison Ivy koji se uspešno koristio u brojnim sajber operacijama čije su mete bile vlade, kompanije i borci za ljudska prava. Poison Ivy je ostao upamćen najviše po napadu na RSA 2011. godine koji je kompaniju koštao 66 miliona dolara koliko je bilo potrebno za zamenu SecurID tokena korisnika.

Poison Ivy, koji se može slobodno preuzeti sa zvaničnog web sajta www.poisonivy-rat.com,je jedan od najčešće korišćenih alata za daljinski pristup kompromitovanim računarima. Svoju popularnost u kriminalnim krugovima ovaj RAT duguje pre svega tome što se njima upravlja preko svima dobro poznatog Windows-ovog interfejsa, kao i činjenici da napadačima nudi brojne mogućnosti: beleženje aktivnosti korisnika na tastaturi, snimanje ekrana, snimanje videa, transfer fajlova, krađu lozinki, upravljanje sistemom i druge zlonamerne aktivnosti. RAT zahetva živu, direktnu interakciju u realnom vremenu sa napadačem. To ga razlikuje od drugih malvera koji su fokusirani na sajber kriminal. Zato prisustvo RAT na računaru može biti znak da imate posla sa napadačem koji je isključivo zainteresovan za kompaniju ili organizaciju u kojoj radite.

FireEye je prikupio 194 uzorka malvera Poisom Ivy koji su korišćeni u ciljanim napadima u periodu između 2008. i 2013. godine. Stručnjaci FireEye su infekcije ovim malverom povezali sa aktivnostima tri grupe: [email protected], Th3bug i MenuPass. Grupe su dobile imena po lozinkama koje su korišćene za pristup Poison Ivy alatu onda kada bi on bio instaliran na kompromitovanim računarima.

Hakeri grupe [email protected] koristili su Poison Ivy u ATP napadima od janura 2008., i u spear fišing napadima na finansijske organizacije, ali i telekomunikacijske kompanije, vlasti i sektor odbrane.

Grupa Th3bug je uglavnom napadala sektor visokog obrazovanja i zdravstva, počev od oktorbra 2009. godine, inficirajući web sajtove koje žrtve najčešće posećuju.

MenuPass je takođe koristio spear fišing emailove koji su posebno dizajnirani za napad na određene zaposlene u organizacijama i kompanijama, koje je trebalo na prevaru naterati da kliknu na maliciozne linkove ili fajlove u emailovima. Aktivnosti grupe MenuPass započele su 2009. godine, a napadi su dolazili iz Kine, dok su mete napada bile američki i drugi inostrani preduzimači u sektoru odbrane.

FireEye je objavio paket alata pod nazivom Calamine koji omogućava profesionalcimada prate ponašanje i komunikacije RAT. Paket Calamine koji je razvijen sa ciljem da osujeti dugotrajne kampanje špijunaže, sastoji se od alata koji dešifruje komunikaciju RAT alata tako da oni koji su zaduženi za bezbednost mreža u organizacijama i kompanijama mogu da razumeju komande operatera koji kontrolišu kompromitovane računare, kao i da steknu uvid u profil napadača, ali i da dobiju informacije o konfiguracionim fajlovima koji se koriste u napadu.

Iz FireEye kažu da njihov alat treba da pomogne žrtvama napada da razlikuju sporadične infekcije od perzistentne kampanje napada čiji je cilj krađa podataka kompanije ili organizacije.

Više detalja o ovome možete naći u dokumentu (PDF) koji je objavio FreEye.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje