Operacija DevilTiger: Razkrite taktike izkoriščanja 0-dnevne ranljivosti APT hekerjev

APT-Q-12 uporablja kompleksne tehnike za zbiranje podatkov in izvajanje prilagojenih napadov

Napadalna skupina, znana kot APT-Q-12, nadgrajuje svoje metode za zbiranje podatkov z uporabo naprednih linij napadalnih vektorjev in zanjo posebej prilagojene tehnike. Ena izmed tehnik, ki jo skupina uporablja, so periodična preverjanja e-pošte z različnimi vsebinami. S temi tehnikami lahko zberejo informacije o uporabniških agentih in določijo blagovne znamke elektronske pošte žrtev ter platforme, ki jih uporabljajo. Napadalci nato uporabijo posnemanje legitimne vsebine, da se izognejo zaznavi, hkrati pa skrivno zbirajo podatke za prilagojene izkoriščevalske napade z ničelno dnevno ranljivostjo (zero-day).

APT-Q-12 razlikuje med WPS in Microsoft Word tako, da v mhtml datoteke vstavi spletno kontrolo. Ko se takšna datoteka odpre v WPS, spletna kontrola sproži zahtevo do C2 sonde. Vendar pa Microsoft Word, s privzeto onemogočeno spletno kontrolo, prepreči, da bi se to zgodilo.

Izogibanje zaznavi z večplastnimi lažnimi dokumenti

Ena izmed glavnih iznajdb napadalcev je uporaba večplastnih lažnih dokumentov za izogibanje zaznavi v peskovnikih. Povezava C2 sonde je zahtevana šele po interakciji uporabnika, kar razlikuje Microsoft Word od WPS. Te metode so deljene med različnimi skupinami APT in služijo za informiranje prihodnjih napadov z ničelno dnevno ranljivostjo (0day). To poudarja pomen robustnih varnostnih ukrepov, ki so potrebni za zaščito pred ciljanimi napadi te vrste.

Napad z večkrivnim napadalnim vektorjem

Elektronska pošta zavaja uporabnika, da odpre le-to in s tem omogoči izvajanje zlonamerne JavaScript kode. Koda dostopa do skritega slikovnega vira, dejansko base64 kodirane LNK datoteke, ki se prenese in zažene. To posledično zažene proces rundll32 za izvajanje zlonamerne funkcije, ki si prizadeva, da pridobi nepooblaščen dostop do sistema uporabnika.

Napad izkorišča XSS ranljivost kompromitiranega spletnega mesta za dostavo trojanskega konja, preoblečenega v MUI datoteko. Nato prenese drugo stopnjo zlonamerne programske opreme in jo vbrizga v legitimno sistemsko datoteko (MMDevAPI.mui) za obstoj in oddaljeni nadzor.

Večstopenjski napad

APT-Q-12 uporablja večstopenjski napad, ki vključuje keyloggerje, brskalniško steganografijo, orodja za tuneliranje in vtičnike za zajem zaslona. Ti vtičniki se distribuirajo prek PowerShell-a in šifrirajo občutljive podatke, ki se eksfiltrirajo z uporabo obratnega tuneliranja. Glavni cilji napadalcev so obveščevalni podatki v zvezi s konkurenco na področju polprevodnikov in politična propaganda v Severovzhodni Aziji.

Izkoriščanje 0-day ranljivosti v Androidovem e-poštnem odjemalcu

Napadalci APT-Q-14, tesno povezani z APT-Q-12, so izkoristili ranljivost 0-day v Androidovem e-poštnem odjemalcu, kar jim je omogočilo oddaljeno izvajanje zlonamerne kode na prizadetih napravah. Ta napad je vključeval pošiljanje posebej oblikovane e-pošte z dodano APK datoteko, ki bi izkoristila ranljivost v e-poštnem odjemalcu za izvajanje kode. Koda bi nato vzpostavila povezavo s strežnikom za ukaze in nadzor, prenesla dodatne zlonamerne programe in ukradla občutljive podatke iz naprave. Napadalci so se še posebej osredotočili na zbiranje informacij, povezanih s trgovino med Kitajsko in Severno Korejo.

Podatki o grožnjah in zaznavanje indikatorjev kompromisa (IOC)

QiAnXin Center za grožnjo inteligence zagotavlja podatke o grožnjah, ki so ključni za zaznavanje zlonamernih indikatorjev kompromisa (IOC). Te vključujejo hash kode MD5, URL-je in naslove C2 strežnikov, kar strokovnjakom omogoča, da proaktivno prepoznajo in ukrepajo proti tem grožnjam.

💡 Namig dneva: Redno posodabljajte vse svoje naprave in programsko opremo, da zmanjšate tveganje za napade z 0-day ranljivostmi!

Gmail uporabniki, pazite: AutoIT zlonamerna programska oprema krade vaše prijavne podatke

Gmail uporabniki so opozorjeni na novo AutoIT zlonamerno programsko opremo, ki lahko krade prijavne podatke. Ta zlonamerna programska oprema je posebej zasnovana za prepoznavanje prijavnih podatkov in drugih občutljivih podatkov znotraj Gmail računov. Strokovnjaki za kibernetsko varnost svetujejo previdnost in uporabo dodatnih varnostnih ukrepov pri upravljanju elektronske pošte.

Zaključek

Kibernetski napadi, kot so tisti, ki jih izvajajo skupine APT (Advanced Persistent Threat), postajajo vse bolj sofisticirani. S tehnološkim napredkom in inovativnimi tehnikami, kot so periodična preverjanja e-pošte, večstopenjski napadi, in izkoriščanje ranljivosti, napadalci pridobivajo občutljive podatke s ciljanimi napadi na ključne sektorje.

❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!

Vir novice: Cyber Security News

Leave a Reply

Your email address will not be published. Required fields are marked *