Просмотров: 64

Хакеры за компромисс CCleaner были после Intel, Microsoft, Cisco

В хакерской саге CCleaner появился новый поворот : злоумышленники, по-видимому, не собирались ставить под угрозу как можно больше машин, но преследовали очень специфические цели.

Скрытая целенаправленная атака

По словам Cisco, их настоящими целями были компьютеры ряда крупных технологических компаний, таких как Intel, Microsoft, Linksys, Dlink, Google, Samsung и Cisco, телекоммуникации, такие как O2 и Vodafone, и (странный выход) Gauselmann, производитель игровые автоматы.

Исследователи Cisco пришли к такому выводу, проанализировав архив, содержащий файлы, которые хранились на C & C-сервере злоумышленников, и нашли список доменов, на которые злоумышленники пытались нацелиться:

Цели компромисса CCleaner

Согласно их результатам, около 700 000 хостов были обременены бэкдор CCleaner. Из них около 540 являются государственными системами по всему миру, а 51 принадлежит доменам, в названии которых содержится слово «банк».

Они также определили 20 уникальных хостов в восьми (неназванных) компаниях, которые получили полезную нагрузку второго этапа, последовавшую за компромиссным решением CCleaner. Но, как они отметили, число скомпрометированных хостов и компаний, вероятно, выше, поскольку список, вероятно, был изменен за месяц или около того, когда сервер был активен.

Аваст также пришел к такому же выводу. Они утверждают, что фактическое количество компьютеров, которые получили полезную нагрузку второго этапа, «вероятно, по крайней мере, порядка сотен».

Полезная нагрузка второго этапа использует два компонента (DLL): первый компонент содержит основную бизнес-логику, а вторая часть полезной нагрузки отвечает за постоянство.

«Большая часть логики [первого компонента] связана с нахождением и подключением еще одного CnC-сервера, адрес которого можно определить с помощью трех различных механизмов: 1) учетной записи в GitHub, 2) учетной записи в WordPress, и 3) DNS-запись домена get.adxxxxxx.net (имя изменено здесь). Впоследствии адрес сервера CnC также можно произвольно изменить в будущем, отправив специальную команду, распознаваемую кодом как сигнал для использования протокола DNS (udp / 53) для получения адреса нового сервера », — говорит генеральный директор Avast. и технический директор объяснил .

«Вторая часть полезной нагрузки отвечает за постоянство. Здесь в Windows 7+ используется другой механизм, нежели в Windows XP ».

Еще одна вещь, которая указывает на высокий уровень сложности злоумышленников, заключается в том, что библиотеки DLL встраивают код других поставщиков, внедряя вредоносную функциональность в легитимные библиотеки DLL (одна часть является частью пакета WinZip Corel, а другая — частью продукта Symantec).

<

Какие нападавшие после?

Исследователи Cisco утверждают, что злоумышленники ищут ценную интеллектуальную собственность.

Наложение кода, используемого в этих образцах вредоносного ПО и вредоносного ПО, ранее использовавшегося Группой 72 (известной как Axiom), давно действующим субъектом угроз, который, как известно, нацелен на высокопрофессиональные организации с высокой ценностью интеллектуальной собственности в сфере производства, промышленности, авиакосмической промышленности, обороны, и СМИ в США, Японии, Тайване и Корее. Считается, что Группа 72 является спонсируемым государством актером, поддерживаемым правительством Китая.

Исследователи обнаружили еще одну вещь, которая указывает на Китай: конфигурация сервера C & C указывает «PRC» (Китайская Народная Республика) в качестве часового пояса. Но, как они указали, на эту информацию нельзя полагаться при атрибуции.

Совет для затронутых пользователей

Хотя Avast все еще советует потребителям просто обновить CCleaner до последней версии (v5.35, выпущенной в среду и подписанной с новой цифровой подписью), они говорят, что «для корпоративных пользователей решение может быть другим и, вероятно, будет зависеть от корпоративных ИТ политика. »

Исследователи Cisco повторили свою первоначальную рекомендацию: «Те, на кого повлияла эта атака цепочки поставок, должны не просто удалять уязвимую версию CCleaner или обновлять ее до последней версии, но должны восстанавливаться из резервных копий или систем повторного изображения, чтобы гарантировать полное удаление не только резервных копий. версия CCleaner, а также любое другое вредоносное ПО, которое может быть установлено в системе ».

И Cisco, и Avast уведомили компании, чьи компьютеры, как известно, обременены полезной нагрузкой второго этапа. Поскольку расследование продолжается, возможно, что список пострадавших фирм будет расти.

Тем временем Cisco предоставила индикаторы компрометации, которые компании из списка целей могут использовать для проверки наличия в своей сети скомпрометированного хоста. Технологическим компаниям, которых нет в списке, следует подумать о том же.

«Кажется, что атаки по цепочке поставок увеличиваются в скорости и сложности. Крайне важно, чтобы как охранные компании мы серьезно относились к этим атакам », — заключили они.

Охранные компании должны быть осторожны со своими советами, прежде чем все детали атаки будут определены, чтобы помочь пользователям обеспечить их защиту. Это особенно верно в ситуациях, когда целые этапы атаки остаются незамеченными в течение длительного периода времени. Когда продвинутые противники находятся в игре, это особенно верно. Они, как известно, производят атаки, которые избегают обнаружения определенными компаниями с помощью успешных методов разведки ».

Источник: https://video24.org/

Загрузка...