[ Zavřít ] 


 

RSS Kanál

 

Útok skrz CCleaner byl zákeřnější, než se zdálo KE STAŽENÍ

V minulých dnech bezpečnostní experti společností MorphiSec, Cisco Talos a Avastu zjistili, že CCleaner v5.33 byl kompromitován backdoorem. Ač sbíral a odesílal informace o napadených zařízeních, zdálo se, že byly útočné prostředky zneškodněny dříve, než stačily napáchat škodu. A snad by jen stačilo aktualizovat na verzi CCleaneru backdooru zbavenou, ale...

 

Malware Floxif byl obzvláště účinně skryt mezi knihovnami legitimního softwaru (Zdroj: Avast.com)

Nyní však Cisco Talos přichází s upozorněním, že šlo dvoufázový APT útok, jehož skutečnými cíli byly nadnárodní korporace technologického a telekomunikačního sektoru v Japonsku, na Tchaj-wanu, ve Velké Británii, Německu a v USA. Z analýzy dat z C&C serveru se ukázalo, že šlo APT útok (Advanced Persistent Threat), který je designován tak, aby vybraným cílům podstrčil druhou dávku škodlivého kódu. „Nové informace jsou v rozporu s naším předchozím tvrzením založeném na v té době dostupných informacích, že ke druhé fázi útoku vůbec nedošlo,“ přiznává vlastník firmy Piriform a jeho produktu CCleaner Avast. „Podle dat ze serverových protokolů bylo druhým stupněm útoku napadeno 20 zařízení v celkem 8 organizacích. Nicméně tato data byla shromažďována pouze necelé čtyři dny, takže je pravděpodobné, že skutečný počet zařízení napadených ve druhé fázi útoku se pohybuje v řádu stovek.“ Seznam domén, které se útočníci pokoušejí napadnout, napovídá, že jejich cílem je zcizit velmi cenné duševní vlastnictví. 

Seznam domén, které se útočníci pokoušejí napadnout (Zdroj: Cisco.com)

Zprvu skrytou, druhou fázi útoku popisuje Avast: „Druhá část útoku zajišťuje zakořenění škodlivého kódu v systému... Jde o poměrně složitý kód, který sestává ze dvou komponent (DLL knihovny). První knihovna obsahuje hlavní část škodlivého kódu. Stejně jako první fáze útoku je silně obfuskovaná (pro ztížení manuální analýzy) a využívá řadu triků, které brání emulaci (spuštění v chráněných prostředích) a automatické analýze. Velká část kódu má za úkol odvodit adresu dalšího CnC serveru pomocí tří různých mechanismů: 1) účtu na GitHubu, 2) účtu na Wordpress a 3) DNS záznamu domény get.adxxxxxx.net (název zde byl změněn). Následně může být adresa CnC serveru kdykoliv změněna, a to odesláním zvláštního příkazu, který aktualizuje adresu pomocí protokolu DNS (udp / 53).“

Z napadených systémů byl mimo jiné odesílán seznam nainstalovaných programů... (Zdroj: Cisco)

Podle Avast zůstalo napadení dlouho nepovšimnuto kvůli způsobu, jakým zneužívají legitimní software a jeho funkce: „Tyto DLL knihovny jsou zajímavé tím, že parazitují na kódu ostatních výrobců vložením škodlivých funkcí do legitimních DLL knihoven. Konkrétně je 32 bitová verze aktivována prostřednictvím upravené verze VirtCDRDrv32.dll (součást balíčku WinZip společnosti Corel), zatímco 64 bitová verze používá produkt EFACli64.dll od Symantecu. Většina škodlivého kódu je načítána z registru (kód je uložen přímo v registru v klíčích HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\00[1-4]). Všechna tato fakta a použité techniky ukazují, že šlo o vysoce sofistikovaný útok.“

...a také seznam spuštěných procesů (Zdroj: Cisco)

A Cisco Talos uzavírají: „Veškerá tato zjištění nás vedou k doporučení, aby všichni, kteří byli napadeni tímto útokem, se nespokojili s odstranění napadené verze CCleaneru či jeho aktualizací na již nenapadenou verzi. Místo toho by měli systémy kompletně obnovit ze záloh či bodů obnovení, aby zajistili nejen eliminaci backdoorovaných verzí CCleaneru, ale také veškerého malwaru, který už může být v systému přítomen.“

Konfigurační soubor init.php má jednoznačně nastavené časové pásmo PRC (Zdroj: Cisco.com)

Indicie poukazují na to, že by za útokem mohla stát skupina Group 72. O té se předpokládá, že jde o státem sponzorovanou skupinu hackerů, velmi dobře zajištěnou, s vazbami na čínskou vládu. Konkrétně:

  1. Kaspersky Lab tvrdí, že vzorku aktuálního malwaru se shodují s kódem používaným skupinou Group 72. Coby možného pachatele tohoto útoku označily Group 72 i bezpečnostní experti z Deep Panda, Axiom a Shell_Crew; 
  2. jeden z konfiguračních souborů C&C serveru byl nastaven na časové pásmo PRC, tedy časové pásmo Čínské lidové republiky; 
  3. útok typu watering-hole (kdy je napaden oficiální distribuční server důvěryhodného poskytovatele software a zneužit pro distribuci malware) a orientace na vysoce kvalifikované firmy s vysoce ceněným duševním vlastnictvím v oborech výroby, průmyslu, vesmírných technologií, obrany a médií odpovídají modu operandi skupiny Group 72.

Aktuálně Avast pilně komunikuje s postiženými společnostmi, provádí kontroly, doručuje aktualizace, společně s policií a dalšími bezpečnostními složkami se snaží odhalit a dopadnout pachatele co nejrychleji. Mj. usiluje o minimalizaci možnosti, že se útočníci stáhnou a smažou po sobě veškeré stopy.

Zdroje: Avast blogCisco's Talos Intelligence Group BlogThreat Spotlight: Group 72

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

20 GB za očkování? Ulož.to!

20 GB stahování dat plnou rychlostí nabízí sdílecí server Ulož.to. Činí tak v rámci kampaně Očkuj se s Ulož.to, která je cílena na podporu očkování proti koronaviru COVID-19. Uloz.to se tak přidává k řadě firem, které...

V testech pokročilých hrozeb nejlépe skóroval Avast/AVG

AV-Comparatives se v aktuálním testu ochran před pokročilými kyberhrozbami zaměřili na software velkých jmen. Testovali jak zabezpečení koncových bodů ve firemním prostředí, tak i spotřebitelský software určený pro domácí použití....

Seznam.cz varuje před extrémním počasím přímo ve vyhledávání

Vyhledávání Seznamu.cz nabídne widget Počasí.cz doplněný o varování Českého hydrometeorologického ústavu. Díky tomu budou uživatelé nejen okamžitě upozorněni na blížící se nebezpečí, ale také...

Firefox 94: všehochuť podzimních novinek

Firefox si v 94. iteraci připravil podzimní barvičky, defaultní aplikaci site isolation, možnost tichých aktualizací na pozadí bez běžící aplikace, snížení množství upozornění a spoustu implementací funkcionalit specifických pro Windows 11, macOS i...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama