MixShell kártevő

Mezo -ra Malware-ben

Fordítás ide:

Kiberbiztonsági kutatók lelepleztek egy kifinomult, ZipLine kódnevű, szociális manipulációra épülő műveletet, amely egy MixShell néven ismert, rejtett, memórián belüli rosszindulatú programot használ. A kampány elsősorban az ellátási lánc szempontjából kritikus fontosságú gyártóvállalatokat célozza meg, és a támadók egyre növekvő trendjét képviseli, hogy a hagyományos adathalász módszerek helyett megbízható üzleti munkafolyamatokat használnak ki.

Tartalomjegyzék

A kapcsolatfelvételi űrlapoktól a kompromisszumokig

A kéretlen e-maileken keresztül lebonyolított hagyományos adathalász támadásokkal ellentétben a ZipLine operátorai a cég „Kapcsolat” űrlapján keresztül kezdik a behatolást. Ez a finom megközelítés már a kezdetektől hitelességet teremt. Ezt egy több hetes professzionális és meggyőző kommunikáció követi, amelyet gyakran koholt titoktartási megállapodások erősítenek meg, mielőtt a támadók egy MixShell-t tartalmazó rosszindulatú ZIP archívumot kézbesítenek.

Ez a türelmes, bizalomépítő taktika megkülönbözteti a ZipLine-t a megfélemlítésre épülő kampányoktól. Bizonyos esetekben a támadók mesterséges intelligencia által vezérelt kezdeményezések köré szervezik megközelítésüket, olyan partnerként mutatva be magukat, akik segíthetnek a költségek csökkentésében és a hatékonyság növelésében.

Ki van a célkeresztben?

A ZipLine célcsoportja széleskörű, de az ellátási lánc szempontjából kritikus iparágakban működő, amerikai székhelyű szervezetekre összpontosít. További érintett régiók közé tartozik Szingapúr, Japán és Svájc.

A fő célzott ágazatok a következők:

Ipari gyártás (gépek, fémmegmunkálás, alkatrészek, mérnöki rendszerek)
Hardver és félvezetők
Biotechnológia és gyógyszeripar
Fogyasztási cikkek gyártása

A támadók az Egyesült Államokban bejegyzett LLC-k domainjeit is felhasználják, néha legitim, de inaktív vállalkozások domainjeit felhasználva. Ezek a klónozott weboldalak egy erősen strukturált, nagyszabású működésre utalnak.

A támadási lánc anatómiája

A ZipLine sikere egy többlépcsős fertőzési folyamatban rejlik, amelyet a lopakodásra és a folyamatos működésre terveztek. A fegyverként használt ZIP archívumok jellemzően a Herokuapp.com-on, egy legitim felhőszolgáltatáson találhatók, amely segíti a rosszindulatú program beolvadását a normál hálózati tevékenységbe.

A fertőzési folyamat a következőket foglalja magában:

Egy Windows parancsikon (LNK) a ZIP fájlban elindít egy PowerShell betöltőt.
A betöltő a MixShell-t, egy egyéni implantátumot telepít, amely teljes egészében a memóriában fut.

A MixShell DNS-alagúton keresztül kommunikál (HTTP-tartalék protokollal), lehetővé téve a távoli parancsfuttatást, a fájlkezelést, a fordított proxy használatát, a perzisztenciát és a hálózati beszivárgást.

Néhány verzió hibakeresési és sandbox kikerülési technikákat, valamint ütemezett feladatokat tartalmaz a perzisztencia fenntartása érdekében.

Figyelemre méltó, hogy az LNK fájl egy csapdadokumentumot is elindít, amely tovább elrejti a rosszindulatú viselkedést.

Linkek korábbi fenyegetési tevékenységekhez

A kutatók átfedéseket azonosítottak a ZipLine infrastruktúrájában használt digitális tanúsítványok és az UNK_GreenSec nevű fenyegetéscsoporthoz köthető TransferLoader támadásokhoz kapcsolódó tanúsítványok között. Bár a forrás kiderítése továbbra sem egyértelmű, ez a kapcsolat egy jól szervezett, találékony szereplőre utal, aki korábban nagyszabású kampányokban szerzett tapasztalattal rendelkezett.

A ZipLine kampányának kockázatai

Egy sikeres MixShell fertőzés következményei súlyosak lehetnek, a szellemi tulajdon ellopásától és az üzleti e-mailek feltörésétől kezdve a zsarolóvírus-incidensekig és az ellátási lánc zavaraiig. A célzott iparágak jellegéből adódóan a hatás az egyes vállalatokon túl a teljes termelési ökoszisztémákra is kiterjedhet.

Védekező intézkedések: A társadalmilag manipulált fenyegetések megelőzése

A ZipLine kampány rávilágít arra, hogyan újítanak meg a kiberbűnözők, hogyan használják ki az emberi pszichológiát, a megbízható kommunikációs csatornákat és a mesterséges intelligenciával kapcsolatos témákat a bizalom kihasználása érdekében.

Az ilyen fenyegetések elhárítása érdekében a szervezeteknek a következőket kell tenniük:

Elsősorban a megelőzésre kell összpontosítani, olyan védekezési módszereket kell alkalmazni, amelyek képesek a rendellenes viselkedések észlelésére.
Képezze ki az alkalmazottakat arra, hogy minden bejövő megkeresést szkepticizmussal kezeljenek, függetlenül attól, hogy milyen csatornát használnak.
Szigorú fájlkezelési szabályokat kell alkalmazni, különösen a ZIP archívumok és a parancsikonok esetében.
Fokozott figyelés a DNS-alapú kommunikációs anomáliákra, amelyek alagúthibára utalhatnak.

Az éberség kultúrájának kiépítése kritikus fontosságú. A bizalom, ha egyszer fegyverré válik, a támadó arzenáljának egyik leghatékonyabb eszközévé válik.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

MixShell kártevő

A kapcsolatfelvételi űrlapoktól a kompromisszumokig

Ki van a célkeresztben?

A támadási lánc anatómiája

Linkek korábbi fenyegetési tevékenységekhez

A ZipLine kampányának kockázatai

Védekező intézkedések: A társadalmilag manipulált fenyegetések megelőzése

Küldje el megjegyzését

Felkapott

Getdispadsshop.com

Dudell

LockBeast zsarolóvírus

Legnézettebb

Rosszindulatú

„Geek Squad” e-mail átverés

XHAMSTER Ransomware