Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara MixShelli pahavara

MixShelli pahavara

Aastaks Mezo aastal Pahavara
Tõlgi:

Küberturvalisuse uurijad on paljastanud keeruka sotsiaalse manipuleerimise operatsiooni koodnimega ZipLine, mis kasutab varjatud mälus olevat pahavara, mida tuntakse MixShellina. Kampaania on suunatud peamiselt tarneahela seisukohalt olulistele tootmisettevõtetele ja esindab kasvavat trendi, kus ründajad kasutavad traditsiooniliste andmepüügimeetodite asemel ära usaldusväärseid äriprotsesse.

Kontaktvormidest kompromissini

Erinevalt tavapärastest soovimatute e-kirjade kaudu edastatud andmepüügirünnakutest alustavad ZipLine'i operaatorid sissetungi ettevõtte „Võta meiega ühendust” vormi kaudu. See peen lähenemine loob usaldusväärsuse algusest peale. Sellele järgneb mitmenädalane professionaalne ja veenev suhtlus, mida sageli toetavad väljamõeldud konfidentsiaalsuslepingud, enne kui ründajad edastavad pahatahtliku MixShelli sisaldava ZIP-arhiivi.

See kannatlik usalduse loomise taktika eristab ZipLine'i hirmutamisele suunatud kampaaniatest. Mõnel juhul keskenduvad ründajad oma lähenemisviisi isegi tehisintellektil põhinevatele algatustele, esitledes end partneritena, kes aitavad kulusid vähendada ja tõhusust suurendada.

Kes on sihikul?

ZipLine'i sihtrühm on laiaulatuslik, kuid keskendub USA-s asuvatele organisatsioonidele tarneahela seisukohalt olulistes tööstusharudes. Teiste mõjutatud piirkondade hulka kuuluvad Singapur, Jaapan ja Šveits.

Peamised sihtvaldkonnad on järgmised:

  • Tööstuslik tootmine (masinad, metallitööd, komponendid, projekteeritud süsteemid)
  • Riistvara ja pooljuhid
  • Biotehnoloogia ja farmaatsiatooted
  • Tarbekaupade tootmine

Ründajad kasutavad ka domeene, mis matkivad USA-s registreeritud osaühinguid (LLC-sid), kasutades mõnikord ümber seaduslike, kuid mitteaktiivsete ettevõtete domeene. Need kloonitud veebisaidid viitavad väga struktureeritud ja ulatuslikule operatsioonile.

Rünnakuahela anatoomia

ZipLine'i edu peitub mitmeastmelises nakatamisprotsessis, mis on loodud varjatuks ja püsivaks toimimiseks. Relvaks muudetud ZIP-arhiive majutatakse tavaliselt Herokuapp.com-is, mis on legitiimne pilveteenus, mis aitab pahavaral sulanduda tavapärasesse võrgutegevusse.

Infektsiooniprotsess hõlmab järgmist:

  • ZIP-faili sees olev Windowsi otsetee (LNK) käivitab PowerShelli laaduri.
  • Laadur juurutab MixShelli, mis on täielikult mälus käivitatav kohandatud implantaat.
  • MixShell suhtleb DNS-tunneldamise kaudu (HTTP varumeetodiga), võimaldades käskude kaugkäivitamist, failidega manipuleerimist, pöördproksimist, püsivust ja võrgu infiltratsiooni.
  • Mõned versioonid sisaldavad silumisvastaseid ja liivakastist kõrvalehoidumise tehnikaid koos ajastatud ülesannetega püsivuse säilitamiseks.
  • Tähelepanuväärne on see, et LNK-fail käivitab ka peibutusdokumendi, mis varjab pahatahtlikku käitumist veelgi.

Lingid varasemale ohutegevusele

Teadlased on tuvastanud kattumisi ZipLine'i infrastruktuuris kasutatavate digitaalsete sertifikaatide ja UNK_GreenSec nimelise ohugrupi poolt omistatavate TransferLoaderi rünnakutega seotud digitaalsete sertifikaatide vahel. Kuigi omistamine on ebaselge, viitab see seos hästi organiseeritud ja leidlikule tegutsejale, kellel on varasem kogemus suuremahuliste kampaaniatega.

ZipLine’i kampaania riskid

Eduka MixShelli nakatumise tagajärjed võivad olla tõsised, alates intellektuaalomandi vargusest ja ärimeilide ohtu sattumisest kuni lunavaraintsidentide ja tarneahela katkemiseni. Arvestades sihttööstuse olemust, võib mõju levida üksikutest ettevõtetest tervetele tootmisökosüsteemidele.

Kaitsemeetmed: sotsiaalselt manipuleeritud ohtudest ette jõudmine

ZipLine'i kampaania toob esile, kuidas küberkurjategijad uuendusi teevad, kasutades ära inimpsühholoogiat, usaldusväärseid suhtluskanaleid ja tehisintellektiga seotud teemasid usalduse ärakasutamiseks.

Selliste ohtude vastu võitlemiseks peavad organisatsioonid:

  • Võtta kasutusele ennetuspõhimõtted, mis on võimelised tuvastama anomaalset käitumist.
  • Koolita töötajaid suhtuma igasse sissetulevasse päringusse skeptiliselt, olenemata kasutatavast kanalist.
  • Rakenda rangeid failide käsitlemise reegleid, eriti ZIP-arhiivide ja otseteefailide puhul.
  • Tugevdage tunneldamisele viitavaid DNS-põhiseid sideanomaaliaid.

Valvsuse kultuuri loomine on kriitilise tähtsusega. Kui usaldus on kord relvaks muudetud, saab sellest ründaja arsenali üks tõhusamaid tööriistu.

Trendikas

Enim vaadatud

Laadimine...