Trazi

Stručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan

Opisi virusa, 26.08.2013, 10:17 AM

Stručnjaci upozoravaju: Hakerski alat Poison Ivy je i dalje veoma aktivan

Osam godina pošto se prvi put pojavio, hakerski alat za daljinski pristup kompromitovanim računarima (RAT, Remote Access Tool) Poison Ivy je i dalje popularan i delotvoran, iako je reč o Trojancu koji je dobro poznat u krugovima stručnjaka za kompjutersku bezbednost.

Uprkos reputaciji softvera za hakere početnike koju imaju ovakvi alati za daljinski pristup, oni su i dalje okosnica mnogih sofisticiranih sajber napada. Uz malo tehničkog znanja, RAT omogućavaju neometan pristup kompromitovanim računarima. Ovakvi alati su često ključna komponenta koordinisanih napada u kojima se koriste ranije nepoznate (0-day) ranjivosti u softveru i tehnike društvenog inženjeringa.

Prisustvo RAT na računaru može biti znak da je reč o ciljanom napadu koji se u stručnim krugovima naziva ATP (advanced persistent threat), ali s obzirom na široku upotrebu ovih alata najčešće nije lako proceniti o kakvom napadu se radi.

Dokument koji je objavila firma FireEye analizira aktivnosti ozloglašenog alata Poison Ivy koji se uspešno koristio u brojnim sajber operacijama čije su mete bile vlade, kompanije i borci za ljudska prava. Poison Ivy je ostao upamćen najviše po napadu na RSA 2011. godine koji je kompaniju koštao 66 miliona dolara koliko je bilo potrebno za zamenu SecurID tokena korisnika.

Poison Ivy, koji se može slobodno preuzeti sa zvaničnog web sajta www.poisonivy-rat.com,je jedan od najčešće korišćenih alata za daljinski pristup kompromitovanim računarima. Svoju popularnost u kriminalnim krugovima ovaj RAT duguje pre svega tome što se njima upravlja preko svima dobro poznatog Windows-ovog interfejsa, kao i činjenici da napadačima nudi brojne mogućnosti: beleženje aktivnosti korisnika na tastaturi, snimanje ekrana, snimanje videa, transfer fajlova, krađu lozinki, upravljanje sistemom i druge zlonamerne aktivnosti. RAT zahetva živu, direktnu interakciju u realnom vremenu sa napadačem. To ga razlikuje od drugih malvera koji su fokusirani na sajber kriminal. Zato prisustvo RAT na računaru može biti znak da imate posla sa napadačem koji je isključivo zainteresovan za kompaniju ili organizaciju u kojoj radite.

FireEye je prikupio 194 uzorka malvera Poisom Ivy koji su korišćeni u ciljanim napadima u periodu između 2008. i 2013. godine. Stručnjaci FireEye su infekcije ovim malverom povezali sa aktivnostima tri grupe: Admin@338, Th3bug i MenuPass. Grupe su dobile imena po lozinkama koje su korišćene za pristup Poison Ivy alatu onda kada bi on bio instaliran na kompromitovanim računarima.

Hakeri grupe Admin@338 koristili su Poison Ivy u ATP napadima od janura 2008., i u spear fišing napadima na finansijske organizacije, ali i telekomunikacijske kompanije, vlasti i sektor odbrane.

Grupa Th3bug je uglavnom napadala sektor visokog obrazovanja i zdravstva, počev od oktorbra 2009. godine, inficirajući web sajtove koje žrtve najčešće posećuju.

MenuPass je takođe koristio spear fišing emailove koji su posebno dizajnirani za napad na određene zaposlene u organizacijama i kompanijama, koje je trebalo na prevaru naterati da kliknu na maliciozne linkove ili fajlove u emailovima. Aktivnosti grupe MenuPass započele su 2009. godine, a napadi su dolazili iz Kine, dok su mete napada bile američki i drugi inostrani preduzimači u sektoru odbrane.

FireEye je objavio paket alata pod nazivom Calamine koji omogućava profesionalcimada prate ponašanje i komunikacije RAT. Paket Calamine koji je razvijen sa ciljem da osujeti dugotrajne kampanje špijunaže, sastoji se od alata koji dešifruje komunikaciju RAT alata tako da oni koji su zaduženi za bezbednost mreža u organizacijama i kompanijama mogu da razumeju komande operatera koji kontrolišu kompromitovane računare, kao i da steknu uvid u profil napadača, ali i da dobiju informacije o konfiguracionim fajlovima koji se koriste u napadu.

Iz FireEye kažu da njihov alat treba da pomogne žrtvama napada da razlikuju sporadične infekcije od perzistentne kampanje napada čiji je cilj krađa podataka kompanije ili organizacije.

Više detalja o ovome možete naći u dokumentu (PDF) koji je objavio FreEye.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje

BlackLock je nova opasna ransomware banda

BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.