WaterDrop Malware

WaterDrop -malware er en del af flere nyligt opdagede beskadigede binære filer, der bruges i angreb, der inficerer Linux -installationer. Malwarefamilien blev først afdækket af infosec -forskerne på AT & T's Alien Labs. Deres analyse afslørede, at alle truslerne brugte en open-source bagdør ved navn Prism som grundlag, hvor modifikationerne langsomt blev indført af angriberne.

WaterDrop's truende muligheder er overraskende grundlæggende. Samtidig mangler den sofistikerede teknikker til afsløring eller tilsløring. Forskerne siger faktisk, at WaterDrop indeholder flere let identificerbare egenskaber. For ikke at nævne, at den kommunikerer med Command-and-Control (C2, C&C) infrastrukturen via almindelig tekst HTTP. At dømme efter effektiviteten af angrebskampagnen at dømme var det dog få mennesker, der havde gættet, at dette er tilfældet.

Domænet relateret til WaterDrop -kampagnen blev registreret den 18. august 2017, og næsten 4 år senere er det stadig online og operationelt. På trods af den langvarige brug har WaterDrop formået at opnå og opretholde en detekteringsscore på næsten nul, hvilket betyder, at den har været i stand til at flyve under radaren i årevis uden at blive bemærket. Indtil videre er den mest sandsynlige forklaring, at den høje succesrate blev nået ved at holde angrebskampagnen i en ekstremt lille skala.

Cyberkriminelle bag WaterDrop og den tilhørende malware -familie har opdateret deres truende værktøjssæt langsomt og forventes at fortsætte deres aktiviteter.