[ Zavřít ] 


 

RSS Kanál

 

Útok skrz CCleaner byl zákeřnější, než se zdálo KE STAŽENÍ

V minulých dnech bezpečnostní experti společností MorphiSec, Cisco Talos a Avastu zjistili, že CCleaner v5.33 byl kompromitován backdoorem. Ač sbíral a odesílal informace o napadených zařízeních, zdálo se, že byly útočné prostředky zneškodněny dříve, než stačily napáchat škodu. A snad by jen stačilo aktualizovat na verzi CCleaneru backdooru zbavenou, ale...

 

Malware Floxif byl obzvláště účinně skryt mezi knihovnami legitimního softwaru (Zdroj: Avast.com)

Nyní však Cisco Talos přichází s upozorněním, že šlo dvoufázový APT útok, jehož skutečnými cíli byly nadnárodní korporace technologického a telekomunikačního sektoru v Japonsku, na Tchaj-wanu, ve Velké Británii, Německu a v USA. Z analýzy dat z C&C serveru se ukázalo, že šlo APT útok (Advanced Persistent Threat), který je designován tak, aby vybraným cílům podstrčil druhou dávku škodlivého kódu. „Nové informace jsou v rozporu s naším předchozím tvrzením založeném na v té době dostupných informacích, že ke druhé fázi útoku vůbec nedošlo,“ přiznává vlastník firmy Piriform a jeho produktu CCleaner Avast. „Podle dat ze serverových protokolů bylo druhým stupněm útoku napadeno 20 zařízení v celkem 8 organizacích. Nicméně tato data byla shromažďována pouze necelé čtyři dny, takže je pravděpodobné, že skutečný počet zařízení napadených ve druhé fázi útoku se pohybuje v řádu stovek.“ Seznam domén, které se útočníci pokoušejí napadnout, napovídá, že jejich cílem je zcizit velmi cenné duševní vlastnictví. 

Seznam domén, které se útočníci pokoušejí napadnout (Zdroj: Cisco.com)

Zprvu skrytou, druhou fázi útoku popisuje Avast: „Druhá část útoku zajišťuje zakořenění škodlivého kódu v systému... Jde o poměrně složitý kód, který sestává ze dvou komponent (DLL knihovny). První knihovna obsahuje hlavní část škodlivého kódu. Stejně jako první fáze útoku je silně obfuskovaná (pro ztížení manuální analýzy) a využívá řadu triků, které brání emulaci (spuštění v chráněných prostředích) a automatické analýze. Velká část kódu má za úkol odvodit adresu dalšího CnC serveru pomocí tří různých mechanismů: 1) účtu na GitHubu, 2) účtu na Wordpress a 3) DNS záznamu domény get.adxxxxxx.net (název zde byl změněn). Následně může být adresa CnC serveru kdykoliv změněna, a to odesláním zvláštního příkazu, který aktualizuje adresu pomocí protokolu DNS (udp / 53).“

Z napadených systémů byl mimo jiné odesílán seznam nainstalovaných programů... (Zdroj: Cisco)

Podle Avast zůstalo napadení dlouho nepovšimnuto kvůli způsobu, jakým zneužívají legitimní software a jeho funkce: „Tyto DLL knihovny jsou zajímavé tím, že parazitují na kódu ostatních výrobců vložením škodlivých funkcí do legitimních DLL knihoven. Konkrétně je 32 bitová verze aktivována prostřednictvím upravené verze VirtCDRDrv32.dll (součást balíčku WinZip společnosti Corel), zatímco 64 bitová verze používá produkt EFACli64.dll od Symantecu. Většina škodlivého kódu je načítána z registru (kód je uložen přímo v registru v klíčích HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]). Všechna tato fakta a použité techniky ukazují, že šlo o vysoce sofistikovaný útok.“

...a také seznam spuštěných procesů (Zdroj: Cisco)

A Cisco Talos uzavírají: „Veškerá tato zjištění nás vedou k doporučení, aby všichni, kteří byli napadeni tímto útokem, se nespokojili s odstranění napadené verze CCleaneru či jeho aktualizací na již nenapadenou verzi. Místo toho by měli systémy kompletně obnovit ze záloh či bodů obnovení, aby zajistili nejen eliminaci backdoorovaných verzí CCleaneru, ale také veškerého malwaru, který už může být v systému přítomen.“

Konfigurační soubor init.php má jednoznačně nastavené časové pásmo PRC (Zdroj: Cisco.com)

Indicie poukazují na to, že by za útokem mohla stát skupina Group 72. O té se předpokládá, že jde o státem sponzorovanou skupinu hackerů, velmi dobře zajištěnou, s vazbami na čínskou vládu. Konkrétně:

  1. Kaspersky Lab tvrdí, že vzorku aktuálního malwaru se shodují s kódem používaným skupinou Group 72. Coby možného pachatele tohoto útoku označily Group 72 i bezpečnostní experti z Deep Panda, Axiom a Shell_Crew; 
  2. jeden z konfiguračních souborů C&C serveru byl nastaven na časové pásmo PRC, tedy časové pásmo Čínské lidové republiky; 
  3. útok typu watering-hole (kdy je napaden oficiální distribuční server důvěryhodného poskytovatele software a zneužit pro distribuci malware) a orientace na vysoce kvalifikované firmy s vysoce ceněným duševním vlastnictvím v oborech výroby, průmyslu, vesmírných technologií, obrany a médií odpovídají modu operandi skupiny Group 72.

Aktuálně Avast pilně komunikuje s postiženými společnostmi, provádí kontroly, doručuje aktualizace, společně s policií a dalšími bezpečnostními složkami se snaží odhalit a dopadnout pachatele co nejrychleji. Mj. usiluje o minimalizaci možnosti, že se útočníci stáhnou a smažou po sobě veškeré stopy.

Zdroje: Avast blogCisco's Talos Intelligence Group BlogThreat Spotlight: Group 72

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Česká pošta se stala nástrojem phishingu

Obzvláště nebezpečný phishing koluje po českých emailech. Kyberútočníci si tentokrát coby nástroj na oblafnutí uživatele zvolili upozornění od České pošty. Za nepatrnou platbičku dlužného cla ve výši 1,10 Kč v podstatě slibují...

Nejvýkonnější superpočítač ČR se rodí v Ostravě

Superpočítačové centrum IT4Innovations se chystá na zkompletování nejnovějšího superpočítače v České republice. Ten bude ctít tradici všech superpočítačů a stane se nejvýkonnějším v lokalitě, a to sice díky výpočetnímu...

WhatsApp připravuje i nemobilní volání

WhatsApp by v budoucnu měl umožnit volání a videohovory i v jiných aplikacích než těch, které jsou určeny pro mobily a tablety. Konkrétně by se video/telefonie měla dostat i do webové aplikace a do aplikace desktopové. Otázkou zůstává, zda půjde o samostatné klienty...

Google Analytics přichází v novém

Google Analytics prochází konceptuální změnou. Jmenuje se Google Analytics 4. Namísto měření, fragmentovaného na platformy a zařízení, chce nabídnout měření komplexně zachycující chování zákazníka. Všechny segmenty...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama