Nová rodina škodlivého softvéru MALWERE používa vlastný protokol UDP pre komunikácie C & C

Výskumníci v oblasti bezpečnosti odhalili novú vysoko cielenú kampaň proti počítačovej špionáži, o ktorej sa predpokladá, že je spojená s hackerskou skupinou za trojitým backdoorom KHRAT a zameriava sa na organizácie v juhovýchodnej Ázii. Podľa výskumníkov z Palo Alto sa našla hackerská skupina, ktorú nazvali RANCOR, pomocou dvoch nových malwarových rodín – PLAINTEE a DDKONG – zameraných na politické subjekty predovšetkým v Singapure a Kambodži. Avšak v minulých rokoch boli herci ohrozujúci za Trojanom KHRAT údajne prepojení s čínskou skupinou špionážnych počítačov, známy ako DragonOK.

Pri sledovaní infraštruktúry C & C súvisiacej s trojanom KHRAT výskumníci zistili viaceré varianty týchto dvoch malwarových rodín, kde sa zdá, že PLAINTEE je najnovšou zbraňou v skupine arzenálu, ktorý používa vlastný protokol UDP na komunikáciu so svojím serverom vzdialeného riadenia a kontroly. Na poskytnutie PLAINTEE aj DDKONG útočníci používajú hlásenia o spearingu s rôznymi infekčnými vektormi, vrátane škodlivých makier vo vnútri súborov Microsoft Office Excel, HTA Loader a DLL Loader, ktoré obsahujú vtipy.

Tieto návnady obsahujú detaily z verejných spravodajských článkov, ktoré sú zamerané predovšetkým na politické správy a udalosti, vysvetľujú výskumníci. Okrem toho sa tieto dokumenty zablokujú na legitímnych webových stránkach vrátane vládnych webových stránok patriacich kandidátskej vláde a aspoň raz v prípade Facebooku. PLAINTEE navyše načíta a nainštaluje ďalšie doplnky zo svojho servera C & C použitím rovnakého vlastného protokolu UDP, ktorý prenáša dáta v zakódovanom formulári.

Tieto rodiny využili vlastnú sieťovú komunikáciu na načítanie a spustenie rôznych pluginov, ktoré hosťujú útočníkmi, hovoria výskumníci. Konkrétne používanie protokolu PLAINTEE malware vlastným protokolom UDP je zriedkavé a stojí za zváženie pri vytváraní heuristických detekcií neznámeho malware.

Na druhej strane DDKONG používa hackerská skupina od februára 2017 a nemá žiadny vlastný komunikačný protokol, akým je PLAINTEE, aj keď nie je jasné, či jeden alebo viacerí používatelia hrozieb používajú tento škodlivý softvér.

Podľa výskumných pracovníkov konečné užitočné zaťaženie obidvoch škodlivých rodín naznačuje, že účelom oboch malware je vykonávanie počítačovej špionáže na základe ich politických cieľov namiesto kradnutia peňazí z ich cieľov.

Vzhľadom na to, že skupina RANCOR sa primárne zameriava na používateľov, ktorí nie sú technikmi, vždy sa odporúča, aby boli podozriví z akéhokoľvek nepozvaného dokumentu odoslaného prostredníctvom e-mailu a nikdy neklikli na odkazy v týchto dokumentoch, pokiaľ primerane neoverili zdroj. Navyše, čo je najdôležitejšie, použite antivírusový softvér založený na správaní, ktorý dokáže detekovať a zablokovať takýto škodlivý softvér predtým, ako môže infikovať vaše zariadenie, a vždy ho udržiavajte v aktuálnom stave.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *