Enligt forskare från säkerhetsföretaget Mandiant har man upptäckt en ny kampanj som använder tidigare osedda kedjor av attacker för att effektivt dölja skadlig programvara. För att installera en andra fas av skadlig programvara publicerades en oskyldig pizzabild på Arstechnica-webbplatsen, som var länkad till en URL i avsnittet ”om mig” hos en registrerad användare. Denna URL innehöll en dold sträng av tecken som till en början verkade vara slumpmässiga men som faktiskt utgjorde en skadlig nyttolast. Kampanjen involverade också en sida för delning av videos, Vimeo, där en oskyldig video publicerades, men videobeskrivningen innehöll en skadlig sekvens som genererades genom Base64-kodning.
Forskarna tror att denna metod för att dölja skadlig programvara är ny och svår att upptäcka. Den skadliga strängen i URL:en genererade inga fel eller hindrade sidan från att öppnas. Det finns ingen information om de personer som eventuellt har sett bilden på Arss webbplats.
Infekterade enheter laddade automatiskt ned den skadliga strängen som befann sig i slutet av URL:en och blev infekterade med den andra fasen av skadlig programvara. Samma procedur användes för Vimeo-videon, där strängen placerades i videobeskrivningen.
Denna kampanj genomfördes av gruppen UNC4990, som har varit aktiv sedan minst 2020 och troligtvis drivs av ekonomisk vinning. Forskarna noterade att gruppen också använde en annan innovativ teknik, att gömma den andra fasen bakom en synbarligen tom textfil som, vid analys i en hexadecimal redigerare, visade sig innehålla körbar kod. Tidigare använde gruppen Github- och Gitlab-plattformarna.
I denna kampanj spreds den första fasen av skadlig programvara via infekterade USB-enheter som installerade programmet explorerps1. När infekterade enheter direkt anslöts eller besökte URL:arna som förseglades på Arss webbplats eller i Vimeo-videobeskrivningen aktiverades den andra fasen. Denna fas, kallad Emptyspace, anslöt ständigt till en kommando- och kontrollserver som skulle ladda ned och utföra den tredje fasen vid förfrågan.
Forskare hos Mandiant identifierade installationen av den tredje fasen endast i ett fall. Den här fasen fungerade som en bakdörr som kallades Quietboard, vilket i detta fall användes för att installera kryptokursmaskningsprogramvara.
Personer som är oroade över att vara infekterade med någon av de skadliga programvarorna som diskuteras av Mandiant kan hänvisa till avsnittet ”indikationer på kompromettering” i artikeln som publicerades i torsdags.
Vanliga frågor (FAQ):
1. Vad är källan till informationen som presenteras i artikeln?
– Informationen i artikeln kommer från forskare inom cybersäkerhet hos Mandiant.
2. Vilka nya metoder användes i kampanjen som forskarna upptäckte?
– Kampanjen använde kedjor av attacker och dolda URL:ar som innehöll skadlig programvara.
3. Vilka webbplatser och online-plattformar utnyttjades i kampanjen?
– Kampanjen riktade in sig på Arstechnicas webbplats och videosharing-plattformen Vimeo.
4. Vad var konsekvenserna av att öppna en webbsida som innehöll skadlig programvara?
– Att öppna webbsidan skulle automatiskt ladda ned och installera skadlig programvara på infekterade enheter.
5. Hur doldes den andra fasen av skadlig programvara av gruppen UNC4990?
– Den andra fasen dolde sig bakom en synbarligen tom textfil som innehöll körbar kod när den analyserades i en hexadecimal redigerare.
6. Vilken programvara installerades i denna kampanj?
– Den första fasen av skadlig programvara kallades explorerps1, och den andra fasen kallades Emptyspace. I ett fall installerades även ett kryptokursmaskningsprogram kallat Quietboard.
7. Vilken information finns tillgänglig för personer som är oroade över infektion?
– Individer kan hänvisa till avsnittet ”indikationer på kompromettering” i artikeln som publicerades av Mandiant.
Definieringar:
– Skadlig programvara: Skadlig programvara som är utformad för att skada eller ta kontroll över datorsystem.
– URL: Adressen till en webbplats.
– Base64: En metod för att koda data där tecken representeras av en uppsättning av 64 tecken.
Föreslagna relaterade länkar:
Mandiant Startsida
Arstechnica Startsida
Vimeo Startsida
The source of the article is from the blog macnifico.pt