Prikazi

Philips Brilliance 499P9H

Philips Brilliance 499P9H

Osim što pruža jedinstveno iskustvo korišćenja dva monitora široke dijagonale u jednom uređaju, višestruko nagrađivani Philipsov model donosi i funkcije za povećavanje produktivnosti, kao što su USB-C i iskačuća veb kamera sa podrškom za Windows Hello…

Dalje »

Oukitel WP5

Oukitel WP5

Kada je potrebno da telefon koristite u zahtevnim vremenskim usloviima gde vas vrebaju sneg, kiša, blato ili pak visoke temperature, sunce i prašina, jedino sigurno rešenje može biti neki robusni model iz teške kategorije poput novog pulena kompanije Oukitel...

Dalje »

BenQ BL2480T

BenQ BL2480T

Kada se u biznis klasi nađe monitor koji donosi spoj slim dizajna, fleksibilnog podešavanja položaja, visoke rezolucije, te inteligentnih opcija prilagođavanja reprodukcije slike, jasno je da na stolu dobijate znatno više od uobičajenog  kancelarijskog modela…

Dalje »

BenQ W2000 »

Huawei P30 serija »

BenQ MH535 »

AKTUELNO

 

VESTI

Palmerworm: Špijunska banda cilja medije, finansijske i druge sektore

Napisao misha, 2020-11-09 19:37:18 u Novosti

Tim lovaca na pretnje iz Symanteca, divizije Broadcoma, otkrio je novu špijunsku kampanju koju sprovodi Palmerworm grupa (poznata i pod imenom BlackTech) koja koristi potpuno novi paket prilagođenog malvera i cilja organizacije u Japanu, na Tajvanu, u SAD i Kini.

 

Napadi su se dogodili 2019. godine, a nastavili su se i u 2020. godini, ciljajući organizacije u sektorima medija, građevinarstva, inženjeringa, elektronike i finansija. Primetili smo da je grupa koristila prethodno nepoznat malver u tim napadima.

 

U ovoj kampanji, Palmerworm koristi kombinaciju prilagođenog malvera, alata s dvostrukom namenom i living off the land taktiku (taktika u kojoj napadači koriste softver i alate koji već postoje u okruženju žrtve). Palmerworm grupa je aktivna barem od 2013., dok je prva aktivnost u ovoj kampanji zabeležena avgusta 2019. godine.

 

 

 

 

 

Taktika, alatke i procedure


Primećeno je da Palmerworm u ovim napadima koristi kako alate s dvostrukom namenom, tako i prilagođeni malver.

 

Među porodicama prilagođenog malvera koje smo videli da koriste, našli su se:

-     Backdoor.Consock

-     Backdoor.Waship

-     Backdoor.Dalwit

-     Backdoor.Nomri

 

Nije primećeno da je grupa koristila ove malver porodice u prethodnim napadima – moguće je da su to novorazvijeni alati, ili evolucija starijih Palmerworm alata. Malver koji je Palmerworm koristio u prošlosti uključivao je:

-     Backdoor.Kivars

-     Backdoor.Pled

 

Prilagođeni malver koji je grupa koristila u ovoj kampanji nije poznat od ranije, ali drugi elementi napada imaju sličnosti sa prošlim Palmerworm kampanjama, što nas dovodi do zaključka da ista grupa sprovodi ovu kampanju.

 

Pored četiri pomenuta backdoora, takođe smo primetili da grupa koristi prilagođeni loading alat i alat za izviđanje mreže, koje Symantec detektuje kao trojanca i Hacktool. Grupa je takođe koristila nekoliko alata dvostruke namene, uključujući:

-     Putty – može se koristiti za daljinsko pristupanje, kako bi se izvukli podaci i poslali napadačima

-     PSExec – legitiman Microsoftov alat koji napadači mogu da zloupotrebe za bočno kretanje kroz mrežu žrtve

-     SNScan – ovaj alat se može koristiti za izviđanje mreže, za pronalaženje drugih potencijalnih meta na mrežama žrtave

-     WinRAR – alatka za arhiviranje koja se može koristiti za komprimovanje datoteka (potencijalno radi lakšeg slanja nazad napadačima) kao i za izdvajanje datoteka iz zipovanih foldera.

 

Sve ove alate sa dvostrukom namenom često eksploatišu maliciozni akteri poput Palmerworma, a primećeno je i to da APT grupe (Advanced Persistent Threat – napredne perzistentne pretnje), poslednjih godina sve više koriste living off the land taktiku uz korišćenje alata sa dvostrukom namenom. Ovi alati obezbeđuju napadačima dobar stepen pristupa sistemima žrtava bez potrebe da kreiraju komplikovani prilagođeni malver koji se lakše može povezati s određenom grupom.

 

U ovoj kampanji, Palmerworm takođe koristi ukradene sertifikate za potpisivanje kôda kojim potpisuju svoj payload, što čini da payload izgleda legitimnije, a samim tim i da ga bezbednosni softver teže otkriva. Od ranije je poznato javnosti da je Palmerworm koristio ukradene sertifikate za potpisivanje kôda u prethodnim napadačkim kampanjama.

 

Nismo utvrdili koji je vektor infekcije Palmerworm koristio za dobijanje inicijalnog pristupa mrežama žrtava u ovoj kampanji, ali znamo da je u prošlosti grupa koristila ciljane, “spear-phishing” imejlove kako bi obezbedila pristup mrežama žrtava.

 

 

Žrtve


Symantec je identifikovao više žrtava u ovoj kampanji, u brojnim industrijama, uključujući medije, građevinarstvo, inženjering, elektroniku i finansije. Sve medijske, elektronske i finansijske kompanije bile su stacionirane na Tajvanu, sedište inženjerske kompanije bilo je u Japanu, a građevinska kompanija u Kini. Očigledno je da Palmerworm ima veliko interesovanje za kompanije u ovom regionu istočne Azije.

 

Takođe smo posmatrali aktivnosti Palmerworm grupe u SAD, međutim, nismo uspeli da identifikujemo sektor kompanija koje su bile na meti.

 

Aktivnosti Palmerworma prvi put su primećene u avgustu 2019. godine, kada je aktivnost uočena na mreži tajvanske medijske kompanije i građevinske kompanije u Kini. Grupa je ostala aktivna na mreži te medijske kuće godinu dana, a aktivnost na nekim mašinama u toj zemlji nedavno je zabeležena u avgustu 2020. godine.

 

Palmerworm je takođe nekoliko meseci bio prisutan na mrežama građevinske i finansijske kompanije. Međutim, grupa je provela samo nekoliko dana na mreži japanske inženjerske kompanije u septembru 2019. godine, a nekoliko nedelja na mreži jedne kompanije za elektroniku u martu 2020. godine. Provela je oko šest meseci na jednoj od američkih mašina na kojima smo posmatrali aktivnost.

 

 

Grafikon 1: Vreme koje je Palmerworm proveo na mrežama kompanija u različitim sektorima variralo je od godinu dana do samo nekoliko dana

 

 

Finansije, mediji i građevinska industrija, čini se, predstavljaju sektore od najvećeg interesa za Palmerworm u ovoj kampanji. Ranije je bilo prijava Palmerworm napada na medijski sektor.

 

 

Šta napadači žele?


Iako se ne može videti šta je Palmerworm izvukao od ovih žrtava, smatra se da se radi o špijunskoj grupi i najverovatnije joj je motiv krađa informacija od ciljanih kompanija.

 

 

Kako da znamo da je ovo Palmerworm?


Iako prilagođeni malver koji je korišćen u ovom napadu nije malver koji je Palmerworm ranije koristio, neke od uzoraka identifikovanih u ovom istraživanju drugi vendori detektuju kao PLEAD, a to je poznata Palmerworm (Blacktech) porodica malvera. Takođe smo otkrili i korišćenje infrastrukture koja je ranije pripisivana Palmerwormu.

 

Korišćenje alata dvostruke namene od strane grupe takođe je viđeno u prethodnim kampanjama u kojima je Palmerworm identifikovan kao akter, dok je lokacija njenih žrtava takođe tipična za geografsku regiju koju je Palmerworma ciljao tokom pređašnjih kampanja. Upotreba ukradenih sertifikata za potpisivanje kôda takođe je primećena u prethodnim napadima Palmerworma. Svi ovi faktori jasno govore da ovu aktivnost možemo pripisati Palmerwormu.

 

Symantec ne pripisuje Palmerwormovu aktivnost bilo kojoj specifičnoj geografskoj regiji, međutim tajvanski zvaničnici su javno izjavili da veruju da Blacktech, koji mi vodimo pod imenom Palmerworm, ima podršku kineske vlade.

 

 

Zaključak


APT grupe su i dalje veoma aktivne u 2020. godini, a upotreba alata dvostruke namene i „living off the land“ taktike čini sve težim otkrivanje njihove aktivnosti. To naglašava potrebu za sveobuhvatnim bezbednosnim rešenjem koje je sposobno da otkrije ovu vrstu aktivnosti.

 

 

Zaštita


Trenutno su dostupne sledeće mere zaštite za klijenata od Palmerworm aktivnosti:

-     Backdoor.Consock

-     Backdoor.Waship

-     Backdoor.Dalwit

-     Backdoor.Nomri

-     Backdoor.Kivars

-     Backdoor.Pled

-     Hacktool (alat za hakovanje)

-     Trojan Horse (Trojanski konj)

 

Tim lovaca na pretnje čini grupa stručnjaka za bezbednost unutar Symanteca čija je misija da istražuju ciljane napade, doprinesu unapređenju zaštite u Symantec proizvodima i prezentuju analize koje pomažu klijentima da adekvatno odgovore na napade.

 

 

 

 

 

 


UKOLIKO VAM SE SVIDELA OVA VEST POSETITE I LAJKUJTE NAŠU FACEBOOK FAN STRANU!

 

 

Apple predstavio nove iPhone 12 modele

Mercedes-Benz predstavio futuristički automobil Avatar

Samsung inovativni lifestyle uređaji za domaćinstvo

Ko voli da ima mali, tu je Zanco Tiny t2

Domaći električni bicikli osvajaju svet!

Novi gejmerski telefoni - Xiaomi Black Shark 3 i Black Shark 3 Pro

Project NEON – stižu nam realističnii humanoidni avatari