Zaloguj się lub włącz wersję mobilną
StartDodaj artykułMoje artykułyMoje kontoSzukaj artykułówPomocKontakt

Kategorie

Strona PDFStrona HTML

Ugrupowanie cyberprzestępcze udoskonala swój zestaw narzędzi

Ugrupowanie cyberprzestępcze udoskonala swój zestaw narzędzi



ID artykułu: 60100 / 2264
URL: http://www.publikuj.org/60100

Badacze z firmy Kaspersky zdekonstruowali uaktualniony, bardziej wyrafinowany zestaw narzędzi wykorzystywany przez ugrupowanie cyberprzestępcze o nazwie Cycldek, które atakuje rządy w Azji Południowo-Wschodniej od co najmniej 2013 r. Zidentyfikowano, między innymi, nieznane wcześniej szkodliwe oprogramowanie o nazwie USBCulprit które potrafi przemieszczać się w sieci w celu zdobycia poszukiwanych danych. Szkodnik nie tylko wzmacnia i tak już zaawansowany zestaw narzędzi tego ugrupowania, ale również pozwala cyberprzestępcom atakować fizycznie odizolowane urządzenia, które nie są bezpośrednio połączone z internetem. Cycldek (znane również jako Goblin Panda, APT 27 oraz Conimes) to wykryte w 2013 r. cyberugrupowanie koncentrujące się głównie na celach w Azji Południowo-Wschodniej, wśród których znajdują się duże organizacje oraz podmioty rządowe. Badacze z firmy Kaspersky uważnie śledzili jego najnowszą aktywność cyberszpiegowską która sięga 2018 r. wymierzoną w organizacje rządowe w Wietnamie, Tajlandii oraz Laosie. Cycldek stosuje znacznie szerszy zestaw narzędzi niż przypuszczali wcześniej badacze.

Począwszy od 2018 r. większość ataków rozpoczyna się od wiadomości phishingowej zawierającej dokument RTF o tematyce politycznej. Ugrupowanie wykorzystuje znane luki w zabezpieczeniach tych dokumentów w celu podrzucenia szkodliwego narzędzia zdalnej administracji o nazwie NewCore. Szkodnik ten w rzeczywistości składa się z dwóch wariantów posiadających zaawansowane możliwości kradzieży danych: BlueCore oraz RedCore. BlueCore prawdopodobnie był wykorzystywany przeciwko placówkom dyplomatycznym i rządowym w Wietnamie, podczas gdy RedCore został po raz pierwszy użyty w Wietnamie, a następnie wykryto go w Laosie. Oba pobierają nieznane wcześniej szkodliwe oprogramowanie o nazwie USBCulprit.

USBCulprit był stosowany od 2014 r., przy czym nowe próbki pojawiały się dopiero w 2019 r. Posiada zarówno możliwość przeprowadzania inspekcji sieci, jak i kradzieży danych. Po zainstalowaniu skanuje różne ścieżki na zainfekowanym urządzeniu, gromadząc dokumenty posiadające określone rozszerzenia. Są one następnie przenoszone na podłączone do systemu nośniki USB. To sugeruje, że celem szkodnika było atakowanie maszyn, które nie są bezpośrednio połączone z internetem lub z innym komputerem, który jest do niego podłączony. Często urządzenia te są również fizycznie odizolowane. To oznacza, że jedynym sposobem na przesłanie danych jest użycie nośnika zewnętrznego, np. dysku USB.

Ponieważ szkodnik nie jest automatycznie uruchamiany po podłączeniu zainfekowanego nośnika USB do maszyny, niewykluczone, że do infekcji wymagana była pomoc człowieka.

USBCulprit potrafi brać na celownik określone pliki, łącznie z tymi, które zostały ostatnio zmodyfikowane (uwzględniając określoną sygnaturę czasową), jak również rozszerzać swoje możliwości. Późniejsze wersje szkodnika potrafią także wykonywać pliki o określonych nazwach z podłączonych nośników USB. Jest to zaawansowany dodatek do coraz dłuższej listy autorskich narzędzi wykorzystywanych przez opisywane ugrupowanie. Znajduje się wśród nich również opracowany przez cybergang trojan dający dostęp do zainfekowanych maszyn, narzędzie do kradzieży ciasteczek oraz oprogramowanie kradnące hasła z baz danych przeglądarek opartych na projekcie Chromium.

Z naszej analizy wynika, że opisywane ugrupowanie to nie drugorzędny, mniej zaawansowany gracz, jak wcześniej sądzono. W rzeczywistości posiada ono znacznie większą obecność w Azji Południowo-Wschodniej oraz znacznie bardziej wyrafinowany zestaw narzędzi, niż wynikało to z początkowych raportów powiedział Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Możliwe, że ataki ugrupowania Cycldek na zlokalizowane w Azji Południowo-Wschodniej organizacje o kluczowym znaczeniu będą kontynuowane. Aktywność tej grupy cyberprzestępczej nie tylko nie ustała od 2013 r., ale wręcz rozwija się poprzez wykorzystywanie nowego szkodliwego oprogramowania oraz atakowanie nowych państw. Dlatego nadal będziemy monitorować jej poczynania dodał Giampaolo Dedola, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Szczegóły techniczne dotyczące zestawu narzędzi ugrupowania Cycldek są dostępne na stronie https://r.kaspersky.pl/a1yqr.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.


Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: piotr.kup czyk@kaspersky.pl
Tel. 34 390 94 00

 Opcje
Aktywacja: 04/06/20 08:40, odsłony: 74
Słowa kluczowe: artykuły do przedruku bezpieczeństwo, artykuły do przedruku internet i komputery
 Zamknij Ta strona korzysta z plików cookies w celu realizacji usług i zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce, kliknij tutaj aby dowiedzieć się więcej.