Röd oktober rusar igen

Computer Isi Odenberg Februari 5, 2017 0 14
FONT SIZE:
fontsize_dec
fontsize_inc

 Red October är en avancerad ihållande hot, eller APT. En kampanj av cyberspionage på högsta nivå, i syfte att spionera på politiker och ledare runt om i världen. Nu har de återvänt till striden med nya trick.

 Återkomsten av APT Röd Oktober

 Det namngavs Röd Oktober eftersom dess releasedatum var oktober 2012. Du kan se vår första analys i det här inlägget.

 Faktum är att Red October slutligen kastades eftersom deras infrastruktur och kontroll servernätverk är inaktiverade. Vi talar dock mycket väl organiserad, och efter att ha tillbringat ett par månader i skuggorna, alltid komma tillbaka med nya vapen. Kaspersky har genomfört en grundlig analys av den nya kön på Röd Oktober och du har de viktigaste resultaten av studien acontinuación.

 Cloud Atlas

 I augusti förra året, vissa användare av Kaspersky fått en variant känd attacker CVE-2012-0158 och en ny uppsättning av skadliga instruktioner. Efter en första analys har Kaspersky tekniker inställd på flera varumärken som inte är så vanliga i APT.

 En av de namn som användes liknar Röd Oktober, som används för att anställa spjut phishing med ett dokument kallat "Diplomat bil för". Denna förändring i beteende observeras eftersom Microsoft Office inte tillåter skapandet av en bakdörr genom Windows PE, men en Visual Basic-skript som körs när du har skapat.

 Detta skript ladda ner två filer på disken en laddare och en fil med innehållet eller payload-. Laddaren verkar mutera till varje operation. Alltid skadligt innehåll krypteras med en unik nyckel, så det är omöjligt att dechiffrera utan DLL.

 Hur du kommunicerar med C & C?

 Cloud Atlas använder en ovanlig mekanism för kommunikation. Samtliga prover av skadlig kod kommunicera via samtal och WebDAV-server, enligt dess skapare, den tillhör CloudMe AB, ett företag baserat i Sverige.

 OBS: Det finns inga uppgifter som tyder på att den skadliga koden är direkt relaterad till CloudMe. Vad som händer är att angriparen hanterar konton som används som CloudMe används efter C & C centra

 Likheter mellan oktober och Red Cloud Atlas

 Det finns också bevis som pekar på samma författare av denna malware på Röd Oktober. Huvudsyftet är Ryssland, följt av Kazakstan, enligt KSN nätverket. Dessutom är vissa av de dokument med spjut-phishing hot mellan de två är nästan identiska, som vi kan se.

(0)
(0)