Orta Doğu ve Afrika yönlendiriciler aracılığıyla akıllı hacker saldırı

Computer Security News

Kaspersky Lab güvenlik uzmanları siber casusluk grubunun üyeleri Orta Doğu ve Afrika kullanıcı yolu ile onların yönlendiriciler saldırmak uyarılır. Araştırmacılar göre bu casusluk grup en az 2012 beri aktif olan ve onun en son saldırılar geçen ay tespit edildi.

Yaklaşık 100 sapan kurban olmuştur şimdiye kadar çoğu Kenya ve Yemen bulunan tespit, ancak, aynı zamanda Afganistan, Kongo Cumhuriyeti, Libya, Türkiye, Jordan, Sudan, Irak, Tanzanya ve Somali içinde kayıtlı hedefler vardı.

Araştırmacılar Ayrıca bazı internet kafeler yanı sıra hükümet kurumları hedefleyen saldırıları tespit ettiler, ancak kötü amaçlı yazılım kampanya genellikle bireysel kullanıcılar üzerinde odaklanmıştır.

Hackerlar kullanan kötü amaçlı yazılım ana parçası sapan denir ve iç dizeleri güvenlik analistleri tarafından keşfedilen dayanmaktadır. Bu kötü amaçlı yazılım güvenliği aşılan yönlendiriciler, özellikle olanları Mikrotik, Letonya tarafından üzerinden bilgisayarlarına virüs bulaştırma için bilinir.

Şu anda, hedeflenen yönlendiriciler tehlikeye herhangi bir bilgi yolu üzerinde ancak, Kaspersky göre bir Mikrotik istismar uzmanlar WikiLeaks Vault7 dosyaları içerir.

Satıcı diyor ki onlar-si olmak yamalı Vault7 istismar tarafından kaldıraçlı güvenlik açığı ve hackerlar şu anda ilk vektör kullanıyorsanız temiz değil.

En kısa zamanda saldırganların bir yönlendirici erişim, WinBox adlı yazılım meşru bir parçası kötüye-bu yönlendirici bazı DLL dosyaları yükler ve bunları doğrudan PC belleğe yükler Mikrotik tarafından sağlanan bir yönetim aracı.

Yukarıda belirtilen işlevselliği kötüye tarafından sapan suçlular malware hedeflenen yönlendirici yöneticisine teslim edebilirsiniz.

Temel olarak, kötü amaçlı yazılım meşru DLL eğe içinde pencere eşiği tam aynı boyuta sahip kötü niyetli sürümleriyle değiştiren bir ilk aşama yükleyici olduğunu. Kötü niyetli dll sistem ayrıcalıklarına sahip services.exe işleminde tarafından yüklenir.

Sapan tarafından yüklenen ana modüller Cahnadr ve GollumApp denir. Cahnadr, Ndriver olarak da bilinir, anti hata ayıklama, dahil olmak üzere kullanıcı modu modülleri tarafından gerekli tüm yetenekleri sağlayan bir çekirdek modu yükü rootkit işlevselliği, modülleri services.exe işleminde, ağ iletişimleri, enjekte ve koklama olduğu çeşitli protokoller için özellikleri.

GollumApp Cahnadr ile sürekli etkileşim sırasında diğer kullanıcı modu modüller için oluşturulan ana kullanıcı modu modülüdür. Casusluk odaklı işlevselliği kesmek-e doğru esir alma screenshots, günlük tuş vuruşlarını, sistem ve ağ veri toplamak, parolaları hasat, Pano verileri işlemek, yeni işlemleri sistem ayrıcalıklarıyla çalışır ve diğer enjekte sağlayan geniş bir yelpazede içerir kötü amaçlı modülleri belirtilen işlemin içine. Ayrıca, kötü amaçlı yazılım kesmek belgili tanımlık bulaştırmak bilgisayar tam denetimini sağlar.

Sapan doğrudan bir çaba onun modülleri ve bağlı olarak ne güvenlik ürün seçmeli olarak enjekte etme süreçleri dizeleri şifreleme güvenlik ürün kanca atlamak için sistem hizmetleri çağıran dahil olmak üzere farklı yöntemlerle algılama kaçmaya çalışır mevcuttur.

Ayrıca, kötü amaçlı yazılım komutuna geldiğinde bazı gelişmiş teknikler istihdam ve denetim (C & C) iletişimleri – meşru iletişim protokolleri, özel bir işareti içeren paketler için göz kulak onun trafikte gizler.

Tüm analizi defa dayalı, Kaspersky Lab bir devlet destekli siber casusluk kampanyası ve sofistike seviyesini Regin ve ProjectSauron tehdit aktörler düzeyini rakipleri iddia ediyor.


Leave a Reply

Your email address will not be published. Required fields are marked *