[ Zavřít ] 


 

RSS Kanál

 

Útok skrz CCleaner byl zákeřnější, než se zdálo KE STAŽENÍ

V minulých dnech bezpečnostní experti společností MorphiSec, Cisco Talos a Avastu zjistili, že CCleaner v5.33 byl kompromitován backdoorem. Ač sbíral a odesílal informace o napadených zařízeních, zdálo se, že byly útočné prostředky zneškodněny dříve, než stačily napáchat škodu. A snad by jen stačilo aktualizovat na verzi CCleaneru backdooru zbavenou, ale...

 

Malware Floxif byl obzvláště účinně skryt mezi knihovnami legitimního softwaru (Zdroj: Avast.com)

Nyní však Cisco Talos přichází s upozorněním, že šlo dvoufázový APT útok, jehož skutečnými cíli byly nadnárodní korporace technologického a telekomunikačního sektoru v Japonsku, na Tchaj-wanu, ve Velké Británii, Německu a v USA. Z analýzy dat z C&C serveru se ukázalo, že šlo APT útok (Advanced Persistent Threat), který je designován tak, aby vybraným cílům podstrčil druhou dávku škodlivého kódu. „Nové informace jsou v rozporu s naším předchozím tvrzením založeném na v té době dostupných informacích, že ke druhé fázi útoku vůbec nedošlo,“ přiznává vlastník firmy Piriform a jeho produktu CCleaner Avast. „Podle dat ze serverových protokolů bylo druhým stupněm útoku napadeno 20 zařízení v celkem 8 organizacích. Nicméně tato data byla shromažďována pouze necelé čtyři dny, takže je pravděpodobné, že skutečný počet zařízení napadených ve druhé fázi útoku se pohybuje v řádu stovek.“ Seznam domén, které se útočníci pokoušejí napadnout, napovídá, že jejich cílem je zcizit velmi cenné duševní vlastnictví. 

Seznam domén, které se útočníci pokoušejí napadnout (Zdroj: Cisco.com)

Zprvu skrytou, druhou fázi útoku popisuje Avast: „Druhá část útoku zajišťuje zakořenění škodlivého kódu v systému... Jde o poměrně složitý kód, který sestává ze dvou komponent (DLL knihovny). První knihovna obsahuje hlavní část škodlivého kódu. Stejně jako první fáze útoku je silně obfuskovaná (pro ztížení manuální analýzy) a využívá řadu triků, které brání emulaci (spuštění v chráněných prostředích) a automatické analýze. Velká část kódu má za úkol odvodit adresu dalšího CnC serveru pomocí tří různých mechanismů: 1) účtu na GitHubu, 2) účtu na Wordpress a 3) DNS záznamu domény get.adxxxxxx.net (název zde byl změněn). Následně může být adresa CnC serveru kdykoliv změněna, a to odesláním zvláštního příkazu, který aktualizuje adresu pomocí protokolu DNS (udp / 53).“

Z napadených systémů byl mimo jiné odesílán seznam nainstalovaných programů... (Zdroj: Cisco)

Podle Avast zůstalo napadení dlouho nepovšimnuto kvůli způsobu, jakým zneužívají legitimní software a jeho funkce: „Tyto DLL knihovny jsou zajímavé tím, že parazitují na kódu ostatních výrobců vložením škodlivých funkcí do legitimních DLL knihoven. Konkrétně je 32 bitová verze aktivována prostřednictvím upravené verze VirtCDRDrv32.dll (součást balíčku WinZip společnosti Corel), zatímco 64 bitová verze používá produkt EFACli64.dll od Symantecu. Většina škodlivého kódu je načítána z registru (kód je uložen přímo v registru v klíčích HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]). Všechna tato fakta a použité techniky ukazují, že šlo o vysoce sofistikovaný útok.“

...a také seznam spuštěných procesů (Zdroj: Cisco)

A Cisco Talos uzavírají: „Veškerá tato zjištění nás vedou k doporučení, aby všichni, kteří byli napadeni tímto útokem, se nespokojili s odstranění napadené verze CCleaneru či jeho aktualizací na již nenapadenou verzi. Místo toho by měli systémy kompletně obnovit ze záloh či bodů obnovení, aby zajistili nejen eliminaci backdoorovaných verzí CCleaneru, ale také veškerého malwaru, který už může být v systému přítomen.“

Konfigurační soubor init.php má jednoznačně nastavené časové pásmo PRC (Zdroj: Cisco.com)

Indicie poukazují na to, že by za útokem mohla stát skupina Group 72. O té se předpokládá, že jde o státem sponzorovanou skupinu hackerů, velmi dobře zajištěnou, s vazbami na čínskou vládu. Konkrétně:

  1. Kaspersky Lab tvrdí, že vzorku aktuálního malwaru se shodují s kódem používaným skupinou Group 72. Coby možného pachatele tohoto útoku označily Group 72 i bezpečnostní experti z Deep Panda, Axiom a Shell_Crew; 
  2. jeden z konfiguračních souborů C&C serveru byl nastaven na časové pásmo PRC, tedy časové pásmo Čínské lidové republiky; 
  3. útok typu watering-hole (kdy je napaden oficiální distribuční server důvěryhodného poskytovatele software a zneužit pro distribuci malware) a orientace na vysoce kvalifikované firmy s vysoce ceněným duševním vlastnictvím v oborech výroby, průmyslu, vesmírných technologií, obrany a médií odpovídají modu operandi skupiny Group 72.

Aktuálně Avast pilně komunikuje s postiženými společnostmi, provádí kontroly, doručuje aktualizace, společně s policií a dalšími bezpečnostními složkami se snaží odhalit a dopadnout pachatele co nejrychleji. Mj. usiluje o minimalizaci možnosti, že se útočníci stáhnou a smažou po sobě veškeré stopy.

Zdroje: Avast blogCisco's Talos Intelligence Group BlogThreat Spotlight: Group 72

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Google a Facebook nechají pracovat jen očkované

Google, Facebook a další internetoví giganti dovolí návrat do kanceláří jen očkovaným zaměstnancům. Opět přistupují k protiepidemickým opatřením s předstihem, stejně jako v případě hromadného zavádění home office po propuknutí...

V Seznamu je prý bomba

30. června 2021, 13:00 - Anonym nahlásil Policii ČR umístění výbušnin v některé z budov společnosti Seznam v České republice. Ta okamžitě zahájila evakuaci všech budov ve spolupráci s hasiči. Evakuace se dotkla nejen zaměstnanců Seznamu, ovšem všech...

Ostravská Karolina je 70. na světě

Karolina je 70. na světě. Teda ne důl Karolina, ani koksovna Karolina, ani plocha po obou zaniklých entitách Karolina - a dokonce ani obchodní centrum Karolina - ale superpočítač Karolina ze stáje IT4Innovations sídlícího v areálu Vysoké školy...

Seznamu se v roce 2020 dařilo

Seznamu se v době koronakrize dařilo. Počáteční nervozitu z pandemie rychle rozptýlil přesun naprosté většiny uživatelů, konzumentů online produktů i zákazníků kamenných prodejen do online prostředí. Díky tomu Seznam dosáhl obratu necelých 5 miliard...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama