Beep Malware

Kibernetinio saugumo tyrinėtojai atskleidė grėsmingą programinę įrangą, kuri stebima kaip „pyptelėjimas“. Ši kenkėjiška programa sukurta su daugybe funkcijų, dėl kurių ji yra labai atspari saugos programinės įrangos aptikimui ir analizei. Nepaisant to, kad ji yra kūrimo fazėje ir joje trūksta tam tikrų esminių komponentų, „Beep“ kenkėjiška programa gali leisti grėsmės veikėjams nuotoliniu būdu atsisiųsti ir vykdyti papildomus naudingus krovinius įrenginiuose, kuriuos ji sėkmingai sukompromitavo. Išsami informacija apie grėsmę buvo paskelbta ataskaitoje, kurią paskelbė infosec ekspertai.

Dėl to „Beep“ kelia didelę grėsmę organizacijoms ir asmenims, nes ji gali suteikti užpuolikams neteisėtą prieigą prie slaptos informacijos ir valdyti paveiktus įrenginius. Asmenys ir organizacijos turėtų nuolat atnaujinti savo saugos programinę įrangą ir būti budrios, kad jų įrenginiuose neatsirastų įtartinos veiklos požymių, kad būtų išvengta tokių kenkėjiškų programų atakų.

„Beep“ kenkėjiška programa gali kelti didelį pavojų tikslinėms aukoms

Pyptelėjimas skirtas rinkti neskelbtiną informaciją iš pažeisto įrenginio. Jį sudaro trys pagrindiniai komponentai: lašintuvas, purkštukas ir naudingoji apkrova.

Lašintuvas, taip pat žinomas kaip „big.dll“, sukuria naują registro raktą su konkrečia reikšme, vadinama „AphroniaHaimavati“. Šioje reikšmėje yra PowerShell scenarijus, užkoduotas base64 formatu. PowerShell scenarijus paleidžiamas atliekant suplanuotą užduotį įrenginyje kas 13 minučių.

Kai scenarijus paleidžiamas, jis atsisiunčia duomenis ir išsaugo juos purkštuve, pavadintame AphroniaHaimavati.dll. Injektorius yra atsakingas už įvairių apsaugos nuo derinimo ir anti-VM (virtualizavimo) metodų naudojimą, kad naudingoji apkrova būtų įterpta į teisėtą sistemos procesą, vadinamą „WWAHost.exe“. Tai atliekama naudojant procesą, vadinamą proceso tuščiaviduriu, kuris padeda išvengti aptikimo naudojant pagrindiniame kompiuteryje veikiančius saugos įrankius.

Pirminė naudingoji apkrova yra atsakinga už duomenų rinkimą iš pažeisto įrenginio ir jo šifravimą. Tada jis bando nusiųsti užšifruotus duomenis į komandų ir valdymo (C2) serverį, kuris buvo užkoduotas. Analizės metu užkoduotas C2 adresas buvo neprisijungęs, tačiau kenkėjiška programa ir toliau bandė prisijungti, net po 120 nesėkmingų bandymų.

„Beep“ kenkėjiška programa yra daug dėmesio skirta likti nepastebėtai

Kenkėjiška programinė įranga „Beep“ yra žinoma dėl daugybės vengimo metodų, įdiegtų per visą jos vykdymo procesą, todėl saugos programinei įrangai ir infosec tyrėjams sunku ją aptikti ir analizuoti. Šie metodai apima, be kita ko, eilučių panaikinimą, sistemos kalbos patikrinimą, derinimo priemonės aptikimą, anti-VM ir anti-smėlio dėžės priemones. Kenkėjiškos programos injektorių komponentas taip pat įgyvendina keletą papildomų apsaugos nuo derinimo ir aptikimo bei vengimo būdų. „Beep“ dėmesys vengimui rodo, kad tai gali būti artėjanti grėsmė, į kurią reikia atkreipti dėmesį, nepaisant šiuo metu ribotų operacijų laukinėje gamtoje.