Car-tech

研究者が新しいグローバルサイバースパイ活動を発見

不要嘲笑我們的性

不要嘲笑我們的性
Anonim

攻撃キャンペーンは、セキュリティ会社カスペルスキーラボ、ブダペスト技術大学の暗号とシステムセキュリティ研究所(CrySyS)の研究者によって発見され、分析された。

ダビングされたMiniDukeスピンフィッシングと呼ばれる技術を使って、悪意のあるPDFファイルを持ち出し、 Adobe Reader 9,10,11の脆弱性を修正した。

[その他の情報:Windows PCからマルウェアを削除する方法]

この攻撃は、FireEyeのセキュリティ研究者が今月初めにアクティブ攻撃で発見したもので、 Adobe Reader 10および11のサンドボックス保護をバイパスしました。Adobeは、2月20日に攻撃対象の脆弱性に対するセキュリティパッチを公開しました。

新しいMiniDuke攻撃はFireEyeで識別された同じ攻撃を使用しますが、カスペルスキーの世界的な調査分析チームのディレクター、Costin Raiu氏が水曜日に発表しました。これは、攻撃者が元の攻撃を作成するために使用されたツールキットにアクセスできることを示唆することができます。

悪意のあるPDFファイルは、対象組織に関連するコンテンツの不正なコピーであり、非公式のアジア欧州会議(ASEM)セミナー、ウクライナのNATOメンバーシップ・アクション・プラン、ウクライナの地域外交に関するレポート、2013年アルメニア経済協会の報告書などを含む。

悪用が成功した場合、不正なPDFファイル影響を受けるシステムから収集された情報で暗号化されたマルウェアをインストールします。この暗号化技術はGaussのサイバースパイウェアマルウェアでも使われており、マルウェアが別のシステムで分析されるのを防ぐことができます。他のコンピュータで動作させた場合、マルウェアは実行されるが、悪意のある機能は開始されないと同氏は述べている[

]。この脅威のもう一つの面白い点は、サイズが20KBでAssemblerで書かれている今日のマルウェア作成者によって近年のマルウェアのサイズに比べると、その小さなサイズも珍しいという。この攻撃の第1段階でインストールされたマルウェアは、4つのWebサイトを指し示す暗号化されたコマンドを含む特定のTwitterアカウントに接続されているため、制御サーバー。米国、ドイツ、フランス、スイスでホストされているこれらのWebサイトは、第2のバックドアプログラムを含む暗号化されたGIFファイルをホストします。

第2のバックドアは最初のバックドアであり、最初のものへのアップデートで、コマンド/それぞれの犠牲者のために独自に設計された別のバックドアプログラムをダウンロードしてください。パキスタン、トルコ、ウクライナ、ドイツ、ベルギーで5人のユニークな犠牲者のためのコマンド・アンド・コントロールサーバが5つの異なるバックドアプログラムをホストしていたとRaiu氏は述べている。攻撃者が感染したシステム上でコマンドを実行できるようにする。

MiniDukeのサイバースパイ活動の背後にいる人々は、Twitterアカウントの最初のものが作成された2012年4月以来稼働しているという。しかし、最近のAdobe Readerの悪用を利用して、脆弱性が修正される前にできるだけ多くの組織を妥協することを決意したばかりの彼らの活動は、より微妙な可能性がある、と彼は述べている。Raiu氏によると、新しい攻撃で使用されたマルウェアは以前と違ってユニークで、過去には異なるマルウェアを使用していた可能性があるという。ブラジル、ブルガリア、ブルガリア、チェコ共和国、ジョージア、ドイツ、ハンガリー、アイルランドの団体が含まれていると、彼は述べている[

ミニデュークの被害者には、攻撃の広範なターゲットとグローバルな性質から判断すると、 、イスラエル、日本、ラトビア、レバノン、リトアニア、モンテネグロ、ポルトガル、ルーマニア、ロシア、スロベニア、スペイン、トルコ、ウクライナ、英国、米国。犠牲者の名前を付けずにライウ氏はこの攻撃の影響を受けているとしている[

]。攻撃はFlameやStuxnetほど洗練されていないが、高レベルである。つまり、攻撃者がどこから操作されるのか、何が利益を得ているのかについての兆候はありません。

しかし、バックドアコーディングスタイルは、2008年以来存在しない29Aと呼ばれるマルウェアライターのグループを連想させます。コード内の「666」シグネチャと29Aは666の16進表記である、とRaiu氏は述べています。FireGayで分析された以前の攻撃で使用されたマルウェアにも「666」という値が見つかりましたが、その脅威はMiniDuke、 Raiuは言った。

このサイバースパイ活動のニュースは、中国のサイバースパイの脅威、特に米国の最新の脅威についての最新の話し合いのヒントになっています。セキュリティ会社Mandiant。報告書には、Mandiantが中国軍のサイバーユニットの秘密と信じているComment Crewと呼ばれるサイバー攻撃のグループの長年の活動の詳細が含まれています。中国政府はこれらの主張を却下したが、この報道は報道で広く報道されている。

莱井氏は、これまでに特定されたミニデュークの犠牲者はどれも中国出身ではなかったが、先週、他の企業のセキュリティ研究者らは、同じPDFの悪用を標的とする標的攻撃が、Mandiant報告書のコピーとして偽装されていることを明らかにした[

]。しかし、これらの攻撃で悪用された方法は非常に粗雑で、MiniDukeに比べてマルウェアはあまり精巧ではなかったという。