33 C
Athens
Τρίτη, 3 Αυγούστου, 2021

Η ομάδα χάκερς Lazarus επιτίθεται σε εταιρεία εμπορευματικών μεταφορών στη Νότια Αφρική

Ένα νέο backdoor, που χρησιμοποιήθηκε για κυβερνοεπίθεση σε εταιρεία εμπορευματικών μεταφορών στη Νότια Αφρική, το οποίο ονόμασαν Vyveva, ανακάλυψαν οι ερευνητές της ESET.

Οι ερευνητές έχουν αποδώσει το κακόβουλο λογισμικό στην περίφημη ομάδα Lazarus λόγω ομοιότητάς του με τις προηγούμενες επιχειρήσεις της ομάδας, καθώς και με το κακόβουλο λογισμικό που χρησιμοποιεί η συγκεκριμένη ομάδα. Το backdoor περιλαμβάνει αρκετές δυνατότητες κυβερνοκατασκοπείας, όπως μεταφορά αρχείων και συλλογή πληροφοριών από τον υπολογιστή στόχο και τις μονάδες δίσκου του. Το Vyveva επικοινωνεί με το διακομιστή Command & Control (C&C) μέσω του δικτύου Tor.

H τηλεμετρία της ESET για το Vyveva δείχνει ότι πρόκειται για στοχευμένη κυβερνοεπίθεση, καθώς οι ερευνητές της ESET εντόπισαν μόνο δύο μηχανήματα που έχουν μολυνθεί, τα οποία είναι και τα δύο διακομιστές που ανήκουν στη συγκεκριμένη εταιρεία της Νοτίου Αφρικής. Σύμφωνα με την έρευνα της ESET, το Vyveva χρησιμοποιείται τουλάχιστον από το Δεκέμβριο του 2018.

Tο οπλοστάσιο της ομάδας Lazarus

«Το Vyveva έχει πολλές ομοιότητες κώδικα με παλαιότερα προγράμματα της ομάδας Lazarus που εντοπίστηκαν από την τεχνολογία της ESET. Ωστόσο, οι ομοιότητες δεν σταματούν εκεί: η χρήση ενός ψεύτικου πρωτοκόλλου TLS σε επικοινωνία δικτύου, ο τρόπος εκτέλεσης εντολών γραμμής και η χρήση υπηρεσιών κρυπτογράφησης και του δικτύου Tor δείχνουν πως μιλάμε για την ομάδα Lazarus. Ως εκ τούτου, μπορούμε με μεγάλη σιγουριά να αποδώσουμε το κακόβουλο λογισμικό Vyveva σε αυτήν την ομάδα APT», λέει ο ερευνητής της ESET, Filip Jurčacko, ο οποίος ανέλυσε το οπλοστάσιο της ομάδας Lazarus.

Το backdoor εκτελεί τις εντολές που εκδίδονται από τους κυβερνοεγκληματίες, όπως λειτουργίες αρχείων και διεργασιών και συλλογή πληροφοριών. Υπάρχει επίσης μια λιγότερο συχνά εμφανιζόμενη εντολή για “file timestomping”, η οποία επιτρέπει την αντιγραφή χρονικών σημείων “timestamps” από ένα αρχείο “δωρητή” σε ένα αρχείο προορισμού ή χρήση μιας τυχαίας ημερομηνίας.

Το Vyveva χρησιμοποιεί τη βιβλιοθήκη Tor για επικοινωνία με ένα διακομιστή C&C. Επικοινωνεί με τον C&C ανά διαστήματα τριών λεπτών, στέλνοντας πληροφορίες σχετικά με το μολυσμένο υπολογιστή και τις μονάδες δίσκου του πριν λάβει εντολές.

“Ωστόσο, ιδιαίτερο ενδιαφέρον παρουσιάζουν τα watchdogs που χρησιμοποιούνται για την παρακολούθηση δίσκων που έχουν συνδεθεί πρόσφατα και που έχουν αποσυνδεθεί, και ένας session watchdog που παρακολουθεί τον αριθμό των ενεργών συνεδριών, όπως οι συνδεδεμένοι χρήστες. Αυτά τα στοιχεία μπορούν να προκαλέσουν σύνδεση με τον διακομιστή C&C εκτός του προκαθορισμένου διαστήματος των τριών λεπτών», εξηγεί ο Jurčacko.

Επισκόπηση της δομής του Vyveva

Μπορείτε να διαβάσετε περισσότερες τεχνικές λεπτομέρειες για το Vyveva στο blog post “(Are you) afreight of the dark?”

Κοινοποιηση αρθρου

Τελευταια Νεα

Τηλεργασία: 8 στους 10 Έλληνες εργαζομένους δεν έχουν εκπαιδευτεί σε θέματα ψηφιακής ασφάλειας

Ελλιπή είναι τα μέτρα που λαμβάνουν αρκετές ελληνικές επιχειρήσεις και εργαζόμενοι για την προστασία των αρχείων του οργανισμού τους από κακόβουλες επιθέσεις.Όπως προκύπτει από...

Δευτέρα πρωί και με καλάθι 78 ευρώ οι συνήθεις αγορές στα online super market – Με +122% «έτρεξαν» το πρώτο εξάμηνο οι πωλήσεις

Πρωί Δευτέρας για την παραγγελία με μέση δαπάνη περί τα 78 ευρώ και με 37 τεμάχια στο καλάθι διαμορφώνεται το καταναλωτικό προφίλ των Ελλήνων...

ΕΡΓΟΣΕ: Στις ράγες έργα 4 δισ. ευρώ μέσα στον Αύγουστο

Γράφει η Μαρία Μόσχου«Καυτός» θα είναι ο Αύγουστος για την ΕΡΓΟΣΕ, που θα ξεκινήσει την προώθηση έργων προϋπολογισμού περίπου 4 δισ. ευρώ από...

Όροι και προϋποθέσεις αναγγελίας έναρξης λειτουργίας των συνεργείων που εκτελούν εργασίες επισκευής και συντήρησης σε οχήματα υψηλής τάσης

Τους όρους και τις προϋποθέσεις για τη λειτουργία των συνεργείων που αναλαμβάνουν εργασίες επισκευής και συντήρησης σε οχήματα υψηλής τάσης περιγράφει Κοινή Υπουργική Απόφαση, με...

Η SAS ανακοινώνει την πρόθεσή της να πραγματοποιήσει Πρόταση Αρχικής Δημόσιας Αγοράς

Η εταιρεία θα παραμείνει επικεντρωμένη στην προώθηση της καινοτομίας και στην επένδυση στην τεχνητή νοημοσύνη και τα analytics Η SAS, η κορυφαία εταιρεία analytics και...