Μυστική Πίσω Πόρτα

Μέχρι το Mezo το Backdoors

Μετάφραση σε:

Ένα εξελιγμένο backdoor γνωστό ως Mistic, που παρακολουθείται επίσης ως MLTBackdoor, έχει εμφανιστεί σε ένα κύμα ύποπτων κυβερνοεπιθέσεων με οικονομικά κίνητρα που είναι ενεργές από τον Απρίλιο του 2026. Το κακόβουλο λογισμικό έχει εντοπιστεί σε επιθέσεις εναντίον οργανισμών που δραστηριοποιούνται στους τομείς των ασφαλίσεων, της εκπαίδευσης, της τεχνολογίας των πληροφοριών και των επαγγελματικών υπηρεσιών.

Οι ερευνητές ασφαλείας έχουν συνδέσει την επιχείρηση με τον αρχικό μεσίτη πρόσβασης (IAB) KongTuke, γνωστό και με διάφορα ψευδώνυμα, όπως 404 TDS, Chaya_002, LandUpdate808, TAG-124 και Woodgnat. Κατά τη διάρκεια αυτών των εισβολών, το Mistic αναπτύχθηκε παράλληλα με το ModeloRAT, ένα trojan απομακρυσμένης πρόσβασης που βασίζεται σε Python και είχε προηγουμένως αποδοθεί στον ίδιο απειλητικό παράγοντα.

Πίνακας περιεχομένων

Σχεδιασμένο για μυστικότητα και μακροπρόθεσμη πρόσβαση

Το Mistic ξεχωρίζει λόγω της ικανότητάς του να λειτουργεί εξ ολοκλήρου στη μνήμη χωρίς να εγγράφει αρχεία στον δίσκο, μειώνοντας σημαντικά τις πιθανότητες ανίχνευσης. Το κακόβουλο λογισμικό ενσωματώνει επίσης έναν ενσωματωμένο διακόπτη kill που του επιτρέπει να διαγράφει τον εαυτό του όταν είναι απαραίτητο. Αυτά τα χαρακτηριστικά υποδηλώνουν ότι οι χειριστές επικεντρώνονται στη διατήρηση μόνιμης και μυστικής πρόσβασης σε παραβιασμένα περιβάλλοντα.

Για να αποφύγει να τραβήξει την προσοχή, το κακόβουλο λογισμικό βασίζεται σε τεχνικές πλευρικής φόρτωσης DLL, καταχρώμενο το νόμιμο βοηθητικό πρόγραμμα ασφαλείας endpoint της Microsoft, MpExtMs.exe, για να ενσωματωθεί στην κανονική δραστηριότητα του συστήματος.

Η Εξέλιξη των Καμπάνιων Παράδοσης ClickFix

Το ModeloRAT τράβηξε για πρώτη φορά την προσοχή τον Ιανουάριο του 2026 κατά τη διάρκεια ερευνών για μια παραλλαγή καμπάνιας ClickFix γνωστή ως CrashFix. Σε αυτήν την επιχείρηση, οι hackers του KongTuke διένειμαν μια κακόβουλη επέκταση του Google Chrome μεταμφιεσμένη σε πρόγραμμα αποκλεισμού διαφημίσεων. Η επέκταση προκαλούσε σκόπιμα σφάλματα στα προγράμματα περιήγησης των θυμάτων και στη συνέχεια τα εξαπατούσε ώστε να εκτελέσουν κακόβουλες εντολές με το πρόσχημα της εκτέλεσης σάρωσης ασφαλείας.

Μια άλλη καμπάνια ClickFix χρησιμοποίησε μια διαφορετική προσέγγιση, δίνοντας οδηγίες στα θύματα να εκτελέσουν εντολές που εκτελούσαν αναζήτηση στο Σύστημα Ονομάτων Τομέα (DNS). Το αίτημα DNS χρησιμοποιήθηκε στη συνέχεια για την ανάκτηση του φορτίου επόμενου σταδίου, μετατρέποντας ουσιαστικά το DNS σε έναν ελαφρύ μηχανισμό σταδιοποίησης και σηματοδότησης για τους εισβολείς.

Τον Ιούνιο του 2026, οι ερευνητές τόνισαν επίσης τη χρήση του ClickFix ως μηχανισμού παράδοσης για το Mistic, αποδίδοντας τη δραστηριότητα σε έναν απειλητικό παράγοντα που σχετίζεται με ransomware και προσπαθεί να αποκτήσει μια αρχική θέση και να διευκολύνει την πλευρική κίνηση σε όλα τα δίκτυα.

Δυνατότητες που καθιστούν το Mistic εξαιρετικά επικίνδυνο

Το backdoor προσφέρει ένα ευρύ σύνολο λειτουργιών που συνήθως σχετίζονται με το προηγμένο κακόβουλο λογισμικό απομακρυσμένης πρόσβασης, όπως:

Μεταφόρτωση και λήψη αρχείων, δημιουργία φακέλων και μετακίνηση, μετονομασία ή διαγραφή αρχείων.
Εκτέλεση κακόβουλου κώδικα απευθείας στη μνήμη, φόρτωση αρχείων αντικειμένων Beacon για επέκταση της λειτουργικότητας, τροποποίηση των διαστημάτων polling εντολών και τερματισμός και διαγραφή του εαυτού του για την εξάλειψη αποδεικτικών στοιχείων.

Συνδέσεις ευκαιριακής στόχευσης και ransomware

Η καμπάνια φαίνεται να ακολουθεί ένα ευκαιριακό μοντέλο αντί να επικεντρώνεται σε έναν μόνο κλάδο. Σύμφωνα με πληροφορίες, οι εισβολείς θέτουν σε κίνδυνο ένα ευρύ φάσμα οργανισμών και στη συνέχεια αξιολογούν ποια θύματα θα μπορούσαν να παρέχουν κερδοφόρες ευκαιρίες πρόσβασης για πώληση σε άλλους κυβερνοεγκληματίες.

Οι ερευνητές έχουν επίσης παρατηρήσει το ModeloRAT σε επιθέσεις που τελικά οδήγησαν στην ανάπτυξη του ransomware Qilin, ενισχύοντας τη σύνδεση μεταξύ των αρχικών brokers πρόσβασης και των χειριστών ransomware.

Το Επεκτεινόμενο Οπλοστάσιο Τεχνικών Κοινωνικής Μηχανικής του KongTuke

Το KongTuke λειτουργεί ένα εξελιγμένο σύστημα κατανομής επισκεψιμότητας (TDS) που βασίζεται σε παραβιασμένους ιστότοπους WordPress. Αυτή η υποδομή χρησιμοποιείται για την παρουσίαση συνεχώς μεταβαλλόμενων δολωμάτων που ανακατευθύνουν τους ανυποψίαστους επισκέπτες σε αλυσίδες παράδοσης κακόβουλου λογισμικού.

Πιο πρόσφατα, οι εταιρείες ασφαλείας Rapid7 και ReliaQuest ανέφεραν ότι ο απειλητικός παράγοντας έχει αλλάξει τακτική στέλνοντας μηνύματα στο Microsoft Teams από δόλιους λογαριασμούς «Υποστήριξης IT». Αυτά τα μηνύματα ξεκινούν μια αλυσίδα επίθεσης που κορυφώνεται με την ανάπτυξη του ModeloRAT.

Μια αυξανόμενη τάση στην ανάπτυξη προσαρμοσμένου κακόβουλου λογισμικού

Η πολυπλοκότητα του Mistic και η ύποπτη εμπλοκή του Woodgnat στην ανάπτυξη του ModeloRAT υποδεικνύουν μια ομάδα με υψηλή εξειδίκευση σε εργαλεία μυστικής πρόσβασης. Η εμφάνιση του Backdoor.Mistic αντικατοπτρίζει επίσης μια ευρύτερη τάση του κλάδου, όπου οι επιχειρήσεις ransomware βασίζονται όλο και περισσότερο σε προσαρμοσμένο κακόβουλο λογισμικό, βοηθητικά προγράμματα εξαγωγής και εξειδικευμένα εργαλεία πρόσβασης.

Τα τρέχοντα στοιχεία υποδηλώνουν ότι το Mistic είναι πιθανώς προϊόν συνεργασίας μεσιτών πρόσβασης με συνεργάτες ransomware και όχι ένα εργαλείο που αναπτύχθηκε απευθείας από την ίδια την ομάδα ransomware.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής