Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra MixShell ļaunprogrammatūra

MixShell ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši sarežģītu sociālās inženierijas operāciju ar kodēto nosaukumu ZipLine, kas izmanto slepenu atmiņā esošu ļaunprogrammatūru, kas pazīstama kā MixShell. Kampaņa galvenokārt ir vērsta pret piegādes ķēdes kritiski svarīgiem ražošanas uzņēmumiem un atspoguļo pieaugošu tendenci, ka uzbrucēji izmanto uzticamas biznesa darbplūsmas, nevis tradicionālās pikšķerēšanas metodes.

No kontaktformām līdz kompromisam

Atšķirībā no tradicionālajiem pikšķerēšanas uzbrukumiem, kas tiek veikti, izmantojot nevēlamus e-pastus, ZipLine operatori sāk ielaušanos, izmantojot uzņēmuma veidlapu “Sazinieties ar mums”. Šī smalkā pieeja jau no paša sākuma nodrošina ticamību. Pēc tam seko vairāku nedēļu ilga profesionāla un pārliecinoša komunikācija, ko bieži vien pastiprina safabricēti konfidencialitātes līgumi, pirms uzbrucēji piegādā ļaunprātīgu ZIP arhīvu, kas satur MixShell.

Šī pacietīgā uzticības veidošanas taktika atšķir ZipLine no iebiedēšanas kampaņām. Dažos gadījumos uzbrucēji pat veido savu pieeju, balstoties uz mākslīgā intelekta vadītām iniciatīvām, pozicionējot sevi kā partnerus, kas var palīdzēt samazināt izmaksas un palielināt efektivitāti.

Kas ir tēmēklī?

ZipLine mērķauditorija ir plaša, taču tā koncentrējas uz ASV bāzētām organizācijām piegādes ķēdes kritiski svarīgās nozarēs. Citi skartie reģioni ir Singapūra, Japāna un Šveice.

Galvenās mērķa nozares ir šādas:

  • Rūpnieciskā ražošana (mašīnas, metālapstrāde, komponenti, inženiersistēmas)
  • Aparatūra un pusvadītāji
  • Biotehnoloģija un farmācija
  • Patēriņa preču ražošana

Uzbrucēji izmanto arī domēnus, kas atdarina ASV reģistrētus SIA, dažkārt pārprofilējot likumīgu, bet neaktīvu uzņēmumu domēnus. Šīs klonētās tīmekļa vietnes norāda uz ļoti strukturētu, liela mēroga darbību.

Uzbrukuma ķēdes anatomija

ZipLine panākumi slēpjas daudzpakāpju inficēšanas procesā, kas paredzēts slepenībai un noturībai. Ieročiem pielāgotie ZIP arhīvi parasti tiek mitināti vietnē Herokuapp.com, kas ir likumīgs mākoņpakalpojums, palīdzot ļaunprogrammatūrai iekļauties parastā tīkla darbībā.

Infekcijas process ietver:

  • Windows saīsne (LNK) ZIP failā aktivizē PowerShell ielādētāju.
  • Ielādētājs izvieto MixShell — pielāgotu implantu, kas pilnībā tiek izpildīts atmiņā.
  • MixShell sazinās, izmantojot DNS tunelēšanu (ar HTTP rezerves protokolu), nodrošinot attālinātu komandu izpildi, failu manipulāciju, reverso starpniekservera izmantošanu, noturību un tīkla infiltrāciju.
  • Dažās versijās ir iekļautas atkļūdošanas novēršanas un smilškastes apiešanas metodes, kā arī ieplānoti uzdevumi noturības uzturēšanai.
  • Jāatzīmē, ka LNK fails palaiž arī mānekļa dokumentu, kas vēl vairāk maskē ļaunprātīgo darbību.

Saites uz iepriekšējo draudu aktivitāti

Pētnieki ir identificējuši pārklāšanos starp digitālajiem sertifikātiem, kas tiek izmantoti ZipLine infrastruktūrā, un tiem, kas saistīti ar TransferLoader uzbrukumiem, kas piedēvēti apdraudējumu grupai UNK_GreenSec. Lai gan saistība joprojām ir neskaidra, šī saikne liecina par labi organizētu, atjautīgu dalībnieku ar iepriekšēju pieredzi liela mēroga kampaņās.

ZipLine kampaņas riski

Veiksmīgas MixShell infekcijas sekas var būt nopietnas, sākot no intelektuālā īpašuma zādzības un biznesa e-pasta apdraudējuma līdz izspiedējvīrusu incidentiem un piegādes ķēdes traucējumiem. Ņemot vērā mērķa nozaru raksturu, ietekme varētu izplatīties ārpus atsevišķiem uzņēmumiem uz veselām ražošanas ekosistēmām.

Aizsardzības pasākumi: sociāli inženierizētu draudu novēršana

ZipLine kampaņa izceļ to, kā kibernoziedznieki ievieš inovācijas, izmantojot cilvēka psiholoģiju, uzticamus saziņas kanālus un ar mākslīgo intelektu saistītas tēmas, lai izmantotu uzticību.

Lai cīnītos pret šādiem draudiem, organizācijām ir jāveic šādas darbības:

  • Vispirms pieņemt preventīvus aizsardzības pasākumus, kas spēj atklāt anomālu uzvedību.
  • Apmāciet darbiniekus skeptiski uztvert katru ienākošo pieprasījumu neatkarīgi no izmantotā kanāla.
  • Ievērojiet stingras failu apstrādes politikas, īpaši attiecībā uz ZIP arhīviem un saīsņu failiem.
  • Pastiprināt DNS balstītu komunikācijas anomāliju uzraudzību, kas var liecināt par tunelēšanu.

Ir ļoti svarīgi veidot modrības kultūru. Uzticība, kad tā tiek izmantota kā ierocis, kļūst par vienu no efektīvākajiem rīkiem uzbrucēja arsenālā.

Tendences

Sūtījums ir izveidots, izmantojot DHL Express...

Pikšķerēšana, Mēstules
Pikšķerēšanas kampaņas turpina izmantot cilvēku uzticību labi pazīstamiem uzņēmumiem. Viena no šādām shēmām ir e-pasta krāpniecība “Sūtījums ir izveidots ar DHL Express”. Lai gan šie ziņojumi izliekas, ka tie nāk no globālā loģistikas pakalpojumu sniedzēja DHL, tie nekādā veidā nav saistīti ar likumīgo uzņēmumu. Tā vietā tie ir rūpīgi izstrādāti mānekļi, kas paredzēti sensitīvu datu zagšanai...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,976
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...