Grupa LuckyMouse wróciła i wykorzystuje legalny certyfikat do podpisywania szkodliwego oprogramowania

11-09-2018, 17:47

Badacze wykryli kilka infekcji wywoływanych przez nieznanego wcześniej trojana, który jest najprawdopodobniej związany z chińskojęzycznym ugrupowaniem przestępczym LuckyMouse. Interesującą cechą tego szkodliwego oprogramowania jest jego starannie dobrany sterownik, podpisany przy użyciu legalnego certyfikatu cyfrowego, który został wydany przez firmę zajmującą się rozwojem oprogramowania związanego z bezpieczeństwem informacyjnym.

Ugrupowanie LuckyMouse jest znane z ukierunkowanych cyberataków przeprowadzanych na duże podmioty na całym świecie. Aktywność tego cybergangu stanowi zagrożenie dla całych regionów, w tym Azji Południowo-Wschodniej i Środkowej, ponieważ jego ataki wydają się być motywowane względami politycznymi. Na podstawie profili ofiar oraz wcześniejszych wektorów ataków badacze z Kaspersky Lab uważają, że wykryty przez nich trojan mógł być wykorzystywany do przeprowadzania cyberszpiegostwa wspieranego przez rząd.

Zidentyfikowany przez ekspertów trojan infekował komputery za pośrednictwem sterownika przygotowanego przez cyberprzestępców. Dzięki temu atakujący mogli realizować rozmaite zadania, m.in. zdalne wykonywanie poleceń, pobieranie i zapisywanie plików, jak również przechwytywanie ruchu sieciowego.

Sterownik ten okazał się najciekawszym elementem omawianej kampanii. Aby przydać mu wiarygodności, ugrupowanie prawdopodobnie ukradło certyfikat cyfrowy, który należy do twórcy oprogramowania związanego z bezpieczeństwem informacji, i wykorzystało go do podpisania próbek szkodliwego oprogramowania. W ten sposób chciano uniknąć wykrycia przez rozwiązania bezpieczeństwa, ponieważ szkodliwe oprogramowanie posiadające ważny podpis wygląda na legalne.

Inną ciekawą cechą sterownika jest fakt, że chociaż ugrupowanie LuckyMouse mogło stworzyć własny szkodliwy program, użyte w ataku narzędzie wydaje się być kombinacją publicznie dostępnych próbek kodu pozyskanych z publicznych repozytoriów oraz specjalnie stworzonego szkodliwego oprogramowania. Takie zastosowanie gotowego do użycia kodu osób trzecich zamiast tworzenia własnych mechanizmów oszczędza twórcom czas i utrudnia zidentyfikowanie sprawców.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2018»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
2627282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.