Karkoff – nov tip DNSpionage s selektivno izbiro cilja
Hekerska skupina, ki stoji za zloglasno akcijo zlonamerne programske opreme DNSpionage, je našla novo prefinjeno metodo, ki izbrane žrtve okuži z novejšo različico DNSpionage.
Napad DNSpionage je bil prvič odkrit novembra lani. Uporabljal je okužena spletna mesta in zlonamerne dokumente za okužbo računalnika žrtev – prilagojeno oddaljeno upravljavsko orodje, ki za komunikacijo z ukazom in nadzornim strežnikom (C&C) uporablja komunikacijo HTTP in DNS. Tudi za Karkoff, so bile ugotovljene podobnosti.
V skladu z novim poročilom, ki ga je objavila skupina za raziskave ogroženosti družbe Talos, so hekerji sedaj uporabili nekaj novih taktik, tehnik in postopkov za izboljšanje učinkovitosti svojih operacij, zaradi česar so njihovi kibernetski napadi bolj ciljno usmerjeni, organizirani in prefinjeni.
Kaj je pri Karkoff drugače?
Za razliko od prejšnjih akcij so sedaj napadalci pričeli izvajati raziskavo svojih žrtev, preden so jih okužili z novo zlonamerno programsko kodo, ki so je poimenovali Karkoff.
»Ugotovili smo, da se infrastruktura prekriva v DNSpionage in primerih Karkoff,« pravijo raziskovalci.
V fazi raziskovanja napadalci zbirajo sistemske informacije, povezane z okoljem delovne postaje, operacijskim sistemom, domeno in seznamom potekajočih procesov na računalniku žrtve.
»Zlonamerna programska oprema išče dve specifični protivirusni platformi Avira in Avast. Če je ena izmed njiju nameščena v sistemu in je tudi v fazi raziskave identificirana, bo nastavljena določena posebna zastava – polje flag in nekatere možnosti iz same konfiguracijske datoteke bodo prezrte,« še pojasnjujejo raziskovalci.
Zlonamerna programska koda Karkoff, ki je bila razvita v .NET platformi, napadalcem omogoča oddaljeno izvrševanje poljubne kode na ogroženih gostiteljih s strežnika C&C. Talos jo je v začetku tega meseca identificiral kot nedokumentirano škodljivo programsko opremo.
Zanimivo je, da Karkoff generira dnevniško datoteko na sistemih žrtev, ki vsebuje seznam vseh ukazov, izvedenih s časovnim žigom. To dnevniško datoteko lahko preprosto uporabite za ustvarjanje časovnega okna izvedbe ukaza, kar je lahko zelo koristno pri odzivanju na to vrsto grožnje.
S tem v mislih, ima organizacija, ogrožena z zlonamerno programsko opremo Karkoff, priložnost pregledati datoteko dnevnika in identificirati ukaze, ki so bili izvedeni proti njej.
Kako se ubraniti pred napadom?
Poleg tega, da onemogočite makroje in uporabljate zanesljivo protivirusno programsko opremo, morate ostati pozorni in spremljati nove tehnike socialnega inženiringa, da bi zmanjšali tveganja in ne bi postali žrtve tovrstnih napadov.
Zaradi številnih javnih poročil o napadih DNS, je ameriško ministrstvo za domovinsko varnost (DHS) vsem zveznim in ostalim agencijam, ki jih upravljajo domene, v začetku tega leta izdalo ‘nujno direktivo’, ki IT osebju naroča, da preverijo zapise DNS za svoje domene spletnih mest.
Hekerji imajo motiv in željo, da najdejo vedno nove načine, kako zaobiti zaščito. Naši strokovnjaki za kibernetsko varnost lahko z izvedbo varnostnega pregleda hitro ugotovijo, ali je vaša kibernetska zaščita ustrezna in varuje vse pomembne poslovne informacije.
Prispevek je pripravil Janez Peršin.