[ Zavřít ] 


 

RSS Kanál

 

Útok skrz CCleaner byl zákeřnější, než se zdálo KE STAŽENÍ

V minulých dnech bezpečnostní experti společností MorphiSec, Cisco Talos a Avastu zjistili, že CCleaner v5.33 byl kompromitován backdoorem. Ač sbíral a odesílal informace o napadených zařízeních, zdálo se, že byly útočné prostředky zneškodněny dříve, než stačily napáchat škodu. A snad by jen stačilo aktualizovat na verzi CCleaneru backdooru zbavenou, ale...

 

Malware Floxif byl obzvláště účinně skryt mezi knihovnami legitimního softwaru (Zdroj: Avast.com)

Nyní však Cisco Talos přichází s upozorněním, že šlo dvoufázový APT útok, jehož skutečnými cíli byly nadnárodní korporace technologického a telekomunikačního sektoru v Japonsku, na Tchaj-wanu, ve Velké Británii, Německu a v USA. Z analýzy dat z C&C serveru se ukázalo, že šlo APT útok (Advanced Persistent Threat), který je designován tak, aby vybraným cílům podstrčil druhou dávku škodlivého kódu. „Nové informace jsou v rozporu s naším předchozím tvrzením založeném na v té době dostupných informacích, že ke druhé fázi útoku vůbec nedošlo,“ přiznává vlastník firmy Piriform a jeho produktu CCleaner Avast. „Podle dat ze serverových protokolů bylo druhým stupněm útoku napadeno 20 zařízení v celkem 8 organizacích. Nicméně tato data byla shromažďována pouze necelé čtyři dny, takže je pravděpodobné, že skutečný počet zařízení napadených ve druhé fázi útoku se pohybuje v řádu stovek.“ Seznam domén, které se útočníci pokoušejí napadnout, napovídá, že jejich cílem je zcizit velmi cenné duševní vlastnictví. 

Seznam domén, které se útočníci pokoušejí napadnout (Zdroj: Cisco.com)

Zprvu skrytou, druhou fázi útoku popisuje Avast: „Druhá část útoku zajišťuje zakořenění škodlivého kódu v systému... Jde o poměrně složitý kód, který sestává ze dvou komponent (DLL knihovny). První knihovna obsahuje hlavní část škodlivého kódu. Stejně jako první fáze útoku je silně obfuskovaná (pro ztížení manuální analýzy) a využívá řadu triků, které brání emulaci (spuštění v chráněných prostředích) a automatické analýze. Velká část kódu má za úkol odvodit adresu dalšího CnC serveru pomocí tří různých mechanismů: 1) účtu na GitHubu, 2) účtu na Wordpress a 3) DNS záznamu domény get.adxxxxxx.net (název zde byl změněn). Následně může být adresa CnC serveru kdykoliv změněna, a to odesláním zvláštního příkazu, který aktualizuje adresu pomocí protokolu DNS (udp / 53).“

Z napadených systémů byl mimo jiné odesílán seznam nainstalovaných programů... (Zdroj: Cisco)

Podle Avast zůstalo napadení dlouho nepovšimnuto kvůli způsobu, jakým zneužívají legitimní software a jeho funkce: „Tyto DLL knihovny jsou zajímavé tím, že parazitují na kódu ostatních výrobců vložením škodlivých funkcí do legitimních DLL knihoven. Konkrétně je 32 bitová verze aktivována prostřednictvím upravené verze VirtCDRDrv32.dll (součást balíčku WinZip společnosti Corel), zatímco 64 bitová verze používá produkt EFACli64.dll od Symantecu. Většina škodlivého kódu je načítána z registru (kód je uložen přímo v registru v klíčích HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]). Všechna tato fakta a použité techniky ukazují, že šlo o vysoce sofistikovaný útok.“

...a také seznam spuštěných procesů (Zdroj: Cisco)

A Cisco Talos uzavírají: „Veškerá tato zjištění nás vedou k doporučení, aby všichni, kteří byli napadeni tímto útokem, se nespokojili s odstranění napadené verze CCleaneru či jeho aktualizací na již nenapadenou verzi. Místo toho by měli systémy kompletně obnovit ze záloh či bodů obnovení, aby zajistili nejen eliminaci backdoorovaných verzí CCleaneru, ale také veškerého malwaru, který už může být v systému přítomen.“

Konfigurační soubor init.php má jednoznačně nastavené časové pásmo PRC (Zdroj: Cisco.com)

Indicie poukazují na to, že by za útokem mohla stát skupina Group 72. O té se předpokládá, že jde o státem sponzorovanou skupinu hackerů, velmi dobře zajištěnou, s vazbami na čínskou vládu. Konkrétně:

  1. Kaspersky Lab tvrdí, že vzorku aktuálního malwaru se shodují s kódem používaným skupinou Group 72. Coby možného pachatele tohoto útoku označily Group 72 i bezpečnostní experti z Deep Panda, Axiom a Shell_Crew; 
  2. jeden z konfiguračních souborů C&C serveru byl nastaven na časové pásmo PRC, tedy časové pásmo Čínské lidové republiky; 
  3. útok typu watering-hole (kdy je napaden oficiální distribuční server důvěryhodného poskytovatele software a zneužit pro distribuci malware) a orientace na vysoce kvalifikované firmy s vysoce ceněným duševním vlastnictvím v oborech výroby, průmyslu, vesmírných technologií, obrany a médií odpovídají modu operandi skupiny Group 72.

Aktuálně Avast pilně komunikuje s postiženými společnostmi, provádí kontroly, doručuje aktualizace, společně s policií a dalšími bezpečnostními složkami se snaží odhalit a dopadnout pachatele co nejrychleji. Mj. usiluje o minimalizaci možnosti, že se útočníci stáhnou a smažou po sobě veškeré stopy.

Zdroje: Avast blogCisco's Talos Intelligence Group BlogThreat Spotlight: Group 72

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

AIRBUS a KOMP: PČR proti darknetu

Policie České republiky rozbila sny fanouškům seriálu Jak prodávat drogy přes internet (rychle). Že nejsou nedohledatelní, nekontrolovatelní a schopni zneužívat služeb dopravců se Národní protidrogové centrále podařilo dokázat ve spolupráci s...

Sedmičky končí

14. ledna 2020 byly uvolněny poslední aktualizace pro operační systém Windows 7. A s tím ukončil jejich podporu i Microsoft. Nejen v českých luzích a hájích populární Sedmičky se tak vydají cestou nekompatibility s dalším softwarem, posléze i hardwarem...

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj...

Chrome 79: zabezpečení, interoperabilita a výkon

Chrome 79 přináší kvanta změn a nových funkcionalit. Mnohé z nich jsou pečlivě skryté pod pokličkou experimentálních nastavení stabilní větve prohlížeče. Přesto odhalíme, co skrývají. Můžete se těšit na zvýšení...


 
© 2005-2020 PS Media s.r.o. - digital world