Blackgear er en tidligere opdaget cyber spionage kampagne, der daterer sig tilbage til 2008. Den malware er blevet kendt for at målrette organisationer i Japan, Sydkorea og Taiwan, med målene primært at være offentlige instanser og højteknologiske virksomheder sektor.
Ifølge Trend Micro rapporter fra 2016, malware kampagner var rettet mod japanske organisationer, hvor forskellige malware værktøjer blev indsat, såsom Elirks Backdoor. De kontinuerlige angreb og vedholdenhed af Blackgear kampagner peger, at de cyberkriminelle operatører er velorganiseret har udviklet deres egne værktøjer, som med jævne mellemrum opdateres og ”finjusteret” som nævnt i en nylig cybersikkerhed rapport.
Blackgear Ondsindede Kendetegn
“En bemærkelsesværdig egenskab ved Blackgear er i hvor høj grad sine angreb er taget til undgå opdagelse, misbruger blogging, microblogging, og sociale medier for at skjule sin kommando-og-kontrol (C&C) konfiguration“, Trend Micro sagde. Denne teknik, som er anderledes end den sædvanlige praksis med indlejring kommando- og kontrolsystemer detaljer inden for malware hjælper ondsindede operatører til hurtigt at ændre deres C&C servere når det er nødvendigt. Denne smarte taktik gør det muligt for kriminelle at køre deres kampagner, så længe de ønsker.
Tilsyneladende, Blackgear har været ved hjælp af Marade downloadet sammen med en version af Protux i sine seneste operationer. Når man analyserer disse ondsindede prøver, forskerne fundet deres krypterede konfigurationer på blog og sociale medier stillinger, som kan være en indikation af, at de malware værktøj blev udformet af den samme cyberkriminalitet bande.
For bedre at forstå funktionen af de seneste Blackgear angreb forskere korrelerede de værktøjer og praktiserer de kriminelle bruges mod deres mål. Her er, hvordan angrebet kæde af Blackgear går rundt:
- Angriberne bruge en lokkedue dokument eller falsk installationsfil, der spredes via spam e-mail til at narre en potentiel offer i at interagere med sine ondsindede indhold.
- Den lokkedue dokument er indstillet til at udtrække Marade Downloader der falder selv i maskinens Temp, øge sin filstørrelsen til over 50 MB og uden om de traditionelle sandkasse løsninger.
- Så kontrollerer Marade hvorvidt den inficerede vært kan oprette forbindelse til internettet, og hvis den er installeret med en anti-virus program.
- I tilfælde af at den berørte vært oprette forbindelse til internettet og ikke har nogen AV-beskyttelse, Marade provenu ved at forbinde til en Blackgear-styret offentlig blog (eller sociale medier indlæg) at spore en krypteret kommando og kontrol konfiguration. I tilfælde af at der ikke er nogen internetforbindelse, malwaren vil anvende C&C detaljer indlejret i sin kode.
- De krypterede strenge fungerer som en magnet link for at holde sin ondsindede trafik fra at blive opdaget af AV-programmer. Derefter, Marade vil dekryptere de krypterede strygere og hente C&C server information.
- Det næste skridt er indsættelsen af den Protux bagdør. C&C server vil sende Protux til det angrebne maskine og vil udføre det. Protux udføres ved at misbruge den rundll32 dynamisk-link library (DLL). Det tester værtens netværk, henter C&C server fra en anden blog, og bruger RSA algoritme til at generere nøglen session og sende information til C&C server, forskerne forklarede.
- Endelig, Blackgear s malware værktøj leveres til målrettede systemer via RAR selvudpakkende eksekverbar (SFX) filer eller kontor Visual Basic Script (VBScript) at skabe en lokkedue dokument.
Rækkevidden af Blackgear kampagner
Blackgear har været aktiv i mindst et årti, rettet mod forskellige brancher i skjulte angreb. Den effekt af malware synes at stamme fra den måde, det kan unddrage traditionelle sikkerhedssoftware. En sådan teknik er indsættelsen af to stadier af infektionen for hvert angreb.
Fordi den første fase omfatter kun profilering og rekognoscering, det er meget muligt, at målet ikke kan være i stand til at lægge mærke til de indtrængen. Der kan være nogen tegn på indbrud, selv efter bagdøren med succes droppet på målrettet system, som de Blackgear forfattere bruger microblogging og sociale medietjenester at hente C&C informationer.
Ifølge forskerne, Blackgear angreb eksemplificere behovet for organisationer at udvikle og implementere sikkerhedsstrategier, der proaktivt kan reagere på trusler og it-kriminalitet. En sådan strategi omfatter en trussel jagt strategi, hvor indikatorer for angreb kan let valideres for at afgøre, om de indtrængen er enkeltstående forsøg eller en del af en større kampagne.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: