Blackgear ist eine zuvor festgestellten Cyber-Spionage-Kampagne, die auf geht zurück 2008. Die Malware ist bekannt, Organisationen in Japan zum Ziel, Südkorea und Taiwan, mit den Zielen in erster Linie öffentliche Einrichtungen und High-Tech-Unternehmen zu sein.
Laut Trend Micro berichtet aus 2016, die Malware-Kampagnen wurden in der japanischen Organisationen gerichtet, wo verschiedene Malware-Tools eingesetzt wurden, wie die Elirks Backdoor. Die ständigen Angriffe und Persistenz von Blackgear Kampagnen hinweisen, dass die Cyber-Kriminellen Betreiber sind gut organisiert haben ihre eigenen Instrumente entwickelt, die in regelmäßigen Abständen aktualisiert und „fein abgestimmt“ werden, wie kürzlich in einem Cyber bemerkt Bericht.
Blackgear Malicious Eigenschaften
“Ein bemerkenswertes Merkmal der Blackgear ist der Grad, in dem die Angriffe getroffen werden Erkennung zu entziehen, missbrauchen Bloggen, Microblogging, und Social-Media-Dienste ihre Kommando- und Kontroll verstecken (C&C) Konfiguration“, Trend Micro, sagte. Diese Technik, das ist anders als die übliche Praxis der Kommando- und Kontroll Details Einbettung in den Malware die böswilligen Betreibern helfen schnell ihren C ändern&C-Server, wann immer es nötig ist. Diese clevere Taktik ermöglicht die Kriminellen ihre Kampagnen so lange laufen, wie sie wollen.
Offenbar, Blackgear wurde mit dem Marade Downloader zusammen mit einer Version von Protux in seinen jüngsten Operationen. Während der Analyse dieser bösartigen Proben, fanden die Forscher ihre verschlüsselten Konfigurationen auf Blog und Social-Media-Beiträge, die ein Hinweis darauf sein kann, dass die Malware-Tools von der gleichen Internet-Kriminalität Bande gefertigt wurden.
Zum besseren Verständnis der Funktionsweise der jüngsten Forscher Blackgear Angriffe die Tools korreliert und praktiziert die verwendeten Verbrecher gegen ihre Ziele. Hier ist, wie die Angriffskette von Blackgear geht um:
- Die Angreifer verwenden, um einen Köder Dokument oder gefälschte Installationsdatei, die über Spam-E-Mail verbreitete ein potenzielles Opfer zu betrügen mit seinen bösartigen Inhalten in der Interaktion.
- Der Köder Dokument gesetzt, um die Marade Downloader zu extrahieren, die selbst fällt in den Temp-Ordner der Maschine, Erhöhung ihrer Dateigröße auf über 50 MB und unter Umgehung der traditionellen Sandbox-Lösungen.
- Marade prüft dann, ob der infizierte Host mit dem Internet verbinden kann, und wenn es mit einem Anti-Viren-Programm installiert ist.
- Für den Fall, kann der betroffene Host mit dem Internet verbindet und keinen AV-Schutz hat, Marade Erlös von zu einem Blackgear gesteuerten öffentlichen Blog Verbindungs (oder Social-Media-Beitrag) einen verschlüsselten Befehl und Steuerungskonfiguration zurückzuverfolgen. Falls es keine Internetverbindung, die Malware die C verwenden&C Details in seinem Code eingebettet.
- Die verschlüsselten Strings dienen als Magnet Link seine schädlichen Datenverkehr zu verhindern, von AV-Programmen erkannt wird. Dann, Marade werden die verschlüsselten Zeichenfolgen entschlüsseln und die C abrufen&C-Server-Informationen.
- Der nächste Schritt ist der Einsatz der Protux Backdoor. Die C&C-Server Protux an die betroffene Maschine senden und wird es ausführen. Protux wird durch Missbrauch des rundll32 Dynamic Link Library ausgeführt (DLL). Es testet das Netzwerk des Host, ruft die C&C-Server von einem anderen Blog, und verwendet den RSA-Algorithmus den Sitzungsschlüssel zu generieren und senden Informationen an die C&C-Server, Die Forscher erklärten,.
- Schließlich, Blackgear Malware-Tools, um gezielte Systeme über RAR selbstextrahier geliefert (SFX) Dateien oder Office-Visual Basic Script (VBScript) ein Köder-Dokument zu erstellen.
Der Umfang der Blackgear Kampagnen
Blackgear seit mindestens einem Jahrzehnt aktiv, verschiedene Branchen in verdeckten Angriffen auf. Die Macht der Malware scheint von der Art und Weise Einhalt zu gebieten es traditionelle Sicherheitssoftware entziehen. Eine solche Technik ist der Einsatz von zwei Stadien der Infektion für jeden Angriff.
Da die erste Stufe beinhaltet nur Profilierung und Aufklärung, es ist sehr gut möglich, dass das Ziel der Einbrüche nicht in der Lage sein kann, bemerken,. Möglicherweise gibt es keine Anzeichen für das Eindringen sogar nach der Backdoor erfolgreich auf das Zielsystem fallen gelassen wird, da die Blackgear Autoren Microblogging und Social-Media-Dienste verwenden C abrufen&C Informationen.
Nach Angaben der Forscher, Blackgear Angriffe verdeutlichen die Notwendigkeit für Organisationen zu entwickeln und Sicherheitsstrategien zu implementieren, die proaktiv auf Bedrohungen reagieren zu können und Cyber-Kriminalität. Eine solche Strategie umfasst eine Bedrohung Jagdstrategie, wobei Indikatoren des Angriffs können leicht zu bestimmen, validiert werden, wenn die Intrusionen Einmalversuche oder Teil einer größeren Kampagne.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: