Dmitrij Tarakanow
13 grudnia 2013 Spełniło się nieuchronne – pojawił się 64-bitowy ZeuS z możliwością komunikacji za pośrednictwem sieci Tor Dmitrij Tarakanow 25 kwietnia 2013 Pułapka na grupę Winnti – wabienie intruzów Dmitrij Tarakanow 25 kwietnia 2013 Zasadzka na rodowitych Koreańczyków Dmitrij Tarakanow 24 kwietnia 2013 Winnti powraca z PlugX Dmitrij Tarakanow 30 listopada 2012 PlugX: złośliwe narzędzie zdalnej administracji Dmitrij Tarakanow 11 października 2012 Ukryte szczegóły na temat szkodliwego oprogramowania rozprzestrzenianego ostatnio za pośrednictwem Skype'a Dmitrij Tarakanow 20 września 2012 Shamoon The Wiper (część II) Dmitrij Tarakanow |
Czasami twórcy szkodliwego oprogramowania oraz inni niegodziwcy w świecie cyfrowym umieszczają wiadomości w swoim szkodliwym oprogramowaniu. Niekiedy robią to wyłącznie dla „funu”, niekiedy ich celem jest obrażenie osoby, która sabotuje ich działalność przestępczą, innym razem chcą przekazać wiadomość osobom „po przeciwnej stronie barykady”, które z nimi walczą. Mamy nadzieję, że opisany w tym poście przypadek należy raczej do pierwszej kategorii, tzn. jest to zabawny komunikat. Przynajmniej my go tak odbieramy.
Nasze pierwsze badanie dotyczące PlugX zostało opublikowane w 2012 roku – od tego czasu to narzędzie zdalnego dostępu (ang. RAT) stało się dobrze znanym instrumentem wykorzystywanym w serii ataków na całym świecie na cele z różnych branż. PlugX został wykryty w atakach ukierunkowanych nie tylko na organizacje wojskowe, rządowe czy polityczne, ale również na mniej lub bardziej zwykłe...
Analizy
Blog
Im więcej ludzi przechodzi na 64-bitowe platformy, tym więcej pojawia się 64-bitowego szkodliwego oprogramowania 64-bit. Obserwujemy ten proces już od kilku lat. Czasami są to bardzo specyficzne aplikacje, np. aplikacje bankowe... Jeżeli ktoś chce włamać się do takiej aplikacji i ukraść informacje, najlepszym narzędziem byłby 64-bitowy szkodliwy agent. A jaki jest najbardziej osławiony szkodnik bankowy? Naturalnie ZeuS, który ustanawia trendy dla większości współczesnego szkodliwego oprogramowania bankowego. Jego wstrzyknięcia sieciowe stały się podstawową funkcją niemal każdej rodziny szkodliwego oprogramowania bankowego. Pojawienie się 64-bitowej wersji ZeuSa było jedynie kwestią czasu – nie spodziewaliśmy się jednak, że nastąpi to tak szybko. Nie spodziewaliśmy się dlatego, że cyberprzestępcy tak naprawdę nie potrzebują 64-bitowej wersji.
Analizy
Blog
Podczas naszego badania dotyczącego grupy Winnti, odkryliśmy znaczną ilość próbek szkodliwego oprogramowania z rodziny Winnti, ukierunkowanego na różne firmy działające w branży gier komputerowych. Używając tych wyrafinowanych złośliwych programów, cyberprzestępcy uzyskiwali zdalny dostęp do zainfekowanych stacji roboczych i z ich poziomu ręcznie przeprowadzali dalsze szkodliwe działania. Oczywiście, zależało nam na tym, aby dowiedzieć się, w jaki sposób złośliwe biblioteki rozprzestrzeniane są w sieci lokalnej. Aby to zrobić, postanowiliśmy śledzić działania napastników przeprowadzane na zainfekowanym komputerze.
Na początku badania uruchamialiśmy szkodliwe programy na maszynie wirtualnej, która pracowała dość dobrze – obserwowaliśmy na niej nawet aktywność cyberprzestępców. Ale szybko zorientowali się oni, że nie był to komputer, który chcieli...
Analizy
Blog
Podczas badań nad propagacją szkodnika PlugX z wykorzystaniem exploitów Javy, natknęliśmy się na skompromitowaną stronę, która hostowała i rozsyłała złośliwy applet Javy, wykorzystujący podatność CVE 2013-0422. Bardzo złośliwa aplikacja została wykryta heurystycznie z ogólnym werdyktem wskazującym na wspomnianą lukę, a witryna hostująca szkodnika nie wyróżniała się niczym spośród ogromu podobnych miejsc, które przechowują różne złośliwe aplikacje Javy, które są wykrywane z podobnym werdyktem. Należy w tym miejscu zaznaczyć, iż nasze poszukiwanie było bardzo osobliwe i wspomniana strona pojawiła się w statystykach bardzo rygorystycznie zawężonych wyników wyszukiwania. OK, szczerze mówiąc był to fałszywy alarm pod względem kryteriów wyszukiwania, ale w tym przypadku był to bardzo pożądany błąd.
Zainfekowana strona była zasobem internetowym o nazwie „minjok.com” i jak się okazało, była...
Analizy
Blog
Analizy
Blog
Nie ważne, czy napastnicy zostali przez kogoś wynajęci, czy pracują dla siebie, jeśli mają oni tendencje do wykonywania ataków na „poważne” organizacje, to dlaczego wśród ich celów znalazły się absolutnie „spokojne” firmy? Nie mogliśmy znaleźć żadnego miejsca, w którym omawiane narzędzie (czy raczej zestaw narzędzi lub...
Analizy
Blog
Analizy
Blog