More

    Novi modularni Deadglyph backdoor korišten u napadu na vladu

    Novi i sofisticirani backdoor malware pod nazivom Deadglyph korišten je u kampanji sajber špijunaže usmjerenoj na vladinu agenciju na Bliskom istoku. Malware se pripisuje hakerskoj grupi Stealth Falcon, koja je ozloglašena po tome što cilja na aktiviste, novinare i disidente.

    Deadglyph metoda infekcije

    • Iako je tačan način isporuke trenutno nepoznat, sumnja se da se zlonamjerni x64 izvršni fajl, vjerovatno instaler programa, koristi za propagiranje Deadglypha. 
    • Zlonamjerna izvršna datoteka, zauzvrat, preuzima komponentu zasnovanu na .NET-u pod nazivom Orchestrator, koja komunicira sa C2 serverom za daljnje zlonamjerne komande. 
    • Ovo omogućava malware-u da se uključi u niz manevara izbjegavanja kako bi ostao ispod radara. 
    • Ako backdoor ne uspije uspostaviti komunikaciju sa C2 serverom nakon određenog perioda, on pokreće mehanizam samouklanjanja kako bi spriječio njegovu analizu.

    Mogućnosti

    • Deadglyph je modularne prirode, što znači da omogućava hakerima da kreiraju ili modifikuju module prilagođene njihovim potrebama.
    • ESET vjeruje da backdoor uključuje devet do četrnaest različitih modula, međutim, mogao bi dobiti samo tri: kreator procesa, sakupljač informacija i čitač datoteka.
    • Osim toga, malware se može pohvaliti nizom mehanizama protiv izbjegavanja, uključujući kontinuirano praćenje sistemskih procesa i implementaciju nasumičnih mrežnih obrazaca.

    Previše malware backdoor-a u posljednje vrijeme

    • Nedavno je kineskoj hakerskoj grupi Earth Lusca pripisan novi Linux backdoor, SprySOCKS, koji je ciljao više vladinih organizacija u nekoliko zemalja. 
    • U drugom incidentu, haker je koristio dva nova backdoor -a — HTTPSnoop i PipeSnoop — u kampanji sajber špijunaže usmjerenoj na telekomunikacijske organizacije sa Bliskog istoka. Ovi backdoor-i su maskirani kao popularni softverski proizvodi i koristili su opsežne mehanizme protiv otkrivanja kako bi ostali ispod radara. 
    • Nadalje, pronađena je nova Sandman APT grupa koja koristi modularni backdoor pod nazivom LuaDream za ciljanje provajdera telekomunikacijskih usluga u Evropi i Aziji. Malware koristi LuaJIT platformu za širenje na sistemima ciljanih organizacija.

    Zaključak

    Istraživači tek treba da otkriju čitav niz mogućnosti Deadglyph malvera dok se istraga nastavlja. U međuvremenu, organizacijama se savjetuje da iskoriste IOC povezane sa zlonamjernim softverom kako bi zaštitile krajnje tačke ili mreže osjetljive na napade.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories