LilithBot
LilithBot on uusi haittaohjelmauhka, jossa on laaja joukko uhkaavia ominaisuuksia, joita tarjotaan MaaS-järjestelmässä (Malware-as-a-Service). Uhka on osa Eternityksi jäljitetyn uhkaryhmän (EternityTeam, Eternity Project) tarjoamia hakkerityökaluja. Kyberrikolliset ovat olleet aktiivisia ainakin tammikuusta 2022 lähtien ja ne on liitetty venäläiseen "Jester Groupiin". Yksityiskohdat LilithBotista ja sen kehittäjistä on paljastettu yleisölle kyberturvallisuustutkijoiden raportissa.
Heidän havaintojensa mukaan LilithBotia tarjotaan mahdollisille kyberrikollisille asiakkaille erillisen Telegram-ryhmän kautta, ja sen voi ostaa seuraamalla linkkiä, joka johtaa Tor-verkossa isännöidylle verkkosivustolle. Sivusto toimii kotisivuna Eternity-hakkereiden tuotteille, ja kallein työkalu on lunnasohjelmauhka.
LilithBotin uhkana on kehittynyt haittaohjelma, joka yhdistää bottiverkon toiminnallisuuden krypto-kaivostyöntekijän, leikkurin ja varastajan toimintoihin. Infosecin tutkijat huomauttavat, että LilithBot on käynyt läpi useita iteraatioita kehitysprosessinsa aikana, ja aiemmissa versioissa olevat komennot on poistettu myöhemmissä julkaisuissa. Tutkijat kuitenkin varoittavat, että uhkatoimijat voivat silti suorittaa poistetut toiminnot, mutta salakavammalla tavalla.
Kun uhka aktivoituu tartunnan saaneessa järjestelmässä, se rekisteröi ensin itsensä robotiksi. Seuraavaksi LilithBot purkaa itsensä ja pudottaa määritystiedostonsa laitteeseen. Haittaohjelma käyttää omaa salauksen purkumekanismiaan yrittääkseen estää sen manuaalisen salauksen purkamisen. Uhkaan varastaja-komponentti kerää tietoa, joka sisältää selainhistorian, evästeet ja henkilökohtaisia tietoja, kuten kuvia. Saadut tiedostot lisätään ZIP-arkistoon ennen kuin ne lähetetään toiminnon Command-and-Control (C2, C&C) -palvelimelle.
LilithBot käyttää väärennettyjä varmenteita lisätäkseen mahdollisuuksiaan jäädä huomaamatta. Tunnistetut varmenteet näyttävät kuitenkin olevan Microsoft Code Signing PCA 2011:n myöntämiä, mutta niiltä puuttuu asianmukainen vahvistus ja vastaallekirjoitus.
