金龙种植与平昌奥运攻击有关

  • 时间:
  • 浏览:31
  • 来源:it300
金龙种植与平昌奥运攻击有关

迈克菲已经发现了一种植入物,他们认为这种植入物在最近针对即将到来的韩国平昌奥运会组织的无文件攻击中被用作第二州有效载荷。

1月初,McAfee的安全性研究人员警告称,黑客已经开始以恶意软件感染的电子邮件为目标攻击平昌奥运会。据报道,第一次此类攻击发生在12月22日,发件人的地址被视为欺骗性的,好像这些消息来自韩国国家反恐中心。

黑客正在使用PowerShell植入来建立攻击者服务器的通道并收集基本的系统级数据,但McAfee无法立即确定攻击者在获得初始访问权限后所做的工作

McAfee发布了一份报告,详细介绍了攻击中使用的其他植入物,这些植入物用于获得目标系统的持久性以及持续的数据泄露,包括Gold Dragon,Brave Prince,Ghost419和RunningRat。

2017年12月24日观察到的韩语植入物Gold Dragon被认为是奥运会攻击中的第二阶段有效载荷,其持久性机制比最初的PowerShell植入物强得多。

Gold Dragon设计为数据收集植入物,其域名golddragon.com硬编码,并作为后续有效载荷的侦察工具和下载器。它还会生成一个密钥来加密从系统收集的数据,然后将其发送到服务器ink.inkboom.co.kr。

Gold Dragon不是一个成熟的间谍软件,因为它只有有限的侦察和数据收集功能。该恶意软件于2017年7月在韩国首次推出,它的特色,代码和行为与Ghost419和Brave Prince类似,是迈克菲自2017年5月以来一直在跟踪的植入物。

恶意软件列出用户的Desktop文件夹,用户最近访问的文件以及系统的%programfiles%文件夹中的目录,并收集此信息以及系统详细信息,当前用户的UserProfiles中的ixe000.bin文件以及注册表项和值当前用户的Run键的信息,加密数据并将其发送到远程服务器。

恶意软件可以检查系统中与a相关的进程tivirus产品和更清洁的应用程序,它可以终止以逃避检测。此外,它还支持从命令和控制(C C)服务器检索的其他组件的下载和执行。

同样是一种与Gold Dragon相似的韩语植入物,Brave Prince也被设计用于系统分析,能够收集有关目录和文件,网络配置,地址解析协议缓存和systemconfig的信息。该恶意软件于2017年12月13日首次出现。它还能够终止与可阻止恶意代码的工具相关的进程。

Ghost419于2017年12月18日首次在野外观察,是一种韩语植入物,可以追溯到2017年7月29日,只能分享46个样本12月样本中使用的代码的百分比。这个恶意软件基于Gold Dragon和Brave Prince,以共享元素和代码为特色,特别是与系统侦察有关。

在平昌奥运攻击中,攻击者还使用了远程访问木马(RAT),安全研究人员说。这个工具被称为RunningRat,它使用两个DLL,第一个杀死系统上的任何反恶意软件解决方案,并解除并执行主RAT DLL,以及获得持久性。

采用反调试技术的第二个DLL在内存中解压缩,导致无文件攻击,因为它永远不会触及用户的文件系统。恶意软件收集有关操作系统的信息,以及驱动程序和处理器信息,并启动捕获用户击键并将其发送到C C服务器。

“根据我们的分析,窃取击键是RunningRat的主要功能;但是,DLL具有更广泛功能的代码。包含代码以复制剪贴板,删除文件,压缩文件,清除事件日志,关闭计算机等等。但是,我们目前的分析显示没有办法执行此类代码,“McAfee透露。

所有这些植入物都可以在受害者的系统上建立永久存在,但它们需要第一阶段的恶意软件,为攻击者提供受害者系统的初步立足点。如果在系统上运行Hangul Word(特定于韩国的Microsoft Office替代品),一些植入物只能实现持久性。

“用t他发现了这些植入物,我们现在对这种手术的范围有了更好的了解。 Gold Dragon,Brave Prince,Ghost419和RunningRat展示了比以前更广泛的活动。我们从这些植入物中看到的持续数据泄露可能会给攻击者在奥运会期间带来潜在的优势,“McAffee总结道。

相关:朝鲜黑客准备攻击加密货币交易

相关:黑客已经针对平昌奥运会

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01