2018년 1분기 IT위협 진화

표적 공격과 맬웨어 캠페인.

Skygofree: 복잡해지는 모바일 감시

1월에 우리는 감염된 안드로이드 기기의 원격 제어로 공격을 제공하는 복잡해지는 모바일 이식을 파헤쳐 냈다. 개발 중 2014년부터 아팠다. 그 악성 코드 Skygofree(한 사용하는 도메인의)라고 불리는 목표가 정해진 cyber-surveillance 도구이다. 국가 이끄는 이동 통신사 흉내 낼 수 있는spoofed의 웹 페이지에 수단으로 퍼진다. 경선 운동이 우리의 원격 측정 이탈리아 모든 해왔다는 점을 여러 희생자들, 진행 중이다. 우리는 감시 솔루션에 대한 효과가 있다면 Skygofree의 개발자는 이탈리아의 IT회사 자신감이 생긴다.

Skygofree의 최신 버전여 지금까지 야생에서 발견되지 않았어요 기능이 포함되어 있다. 기능;WhatsApp 메시지를 포착할 있는 기능을 강제로 내게 필요한 옵션 서비스를 사용하여 능력 그 피해자는 특정 위치 이동하고 있어 대화에 일부러 엿들으려고 한건을 포함한다.와이 파이 네트워크 공격자가로 제어되는 감염된 장치이다. 그 악성 코드와 사진 및 비디오를 훔친 것을, 통화 기록, 문자, 위치 찾기, 달력 행사와 사업 관련 데이터에 저장되게 됨이 할 수 있는 루트 접속을 위해 여러개의 위업을 포함한다.장치의 메모리. 때 화면 있도록(이고에는 배터리 보호 기술에 대해 노력이 꺼져 가지 않는 Skygofree 이식'protected 앱의 목록에서 그 자체를 놓는다.최고의 장치 행상인들의)을 본격화하였다.

우리 조사는 대상 컴퓨터로부터 민감한 데이터를 훔치고에 대한 이식을 형성하는 Windows에 대한 여러 스파이 웨어 도구를 적발했다. 우리가 발견한 버전 2017년을 시작할 때 이 인공 보형물이 야생에 사용된 순간, 우리는 알지 못하 만들어졌다.

그때 이후로 우리는 또한 기기를 감염시키는 악의적인 창이 동정비(이동 장비 관리)서버를 사용하여 iOS에 대한 버전을 발견했다.

올림픽 Destroyer…지만'은 'destroying니?

귀인의 이슈 등을 선명한 모습으로 올림픽 기반 시설에서 게임의 2월에 개막되기 전에 맬웨어 공격 후 던져졌다. 올림픽 구축함, 와이 파이 죽이고 티켓을 인쇄할 것으로부터 방문객을 예방하는 – 올림픽 웹 사이트를 기록했다 디스플레이 모니터를 폐쇄했다. 이 공격은 또한 지역의 다른 단체 예를 들어 –에 영향을 미치고 스키 성문과 스키 리프트, 몇몇 한국 스키 휴양지에서 마비되었다고.

올림픽 구축함은 네트워크 웜 바이러스의 주된 목적과 시작하는 다음 60분 이내에 원격 네트워크의 주가에는 파일을 파괴하려 노력하는 와이퍼 웜는 것이다. 한편 주요 모듈이 브라우저와 Windows저장고, freshly-collected 오래 된 스파이 자격 증명이 들어 있는 벌레의 새로운 세대를 정교하게 만든 암호 user. 이 새로운 세대 벌레 접근할 수 있는 로컬 네트워크 컴퓨터고 그 도난당한 자격과 현재 사용자 권한에 있는 PsExec 도구를 사용하여 시작해 푸시 됩니다. 일단 와이퍼 60분 동안 운영하고, 재설정된 백업은 파일 시스템에서 섀도 복사본을 삭제합니다 Windows부팅 메뉴의 회복 아이템 사용을 모든 사용 Windows이벤트 로그를 청소한다.이 시스템 위에 서비스와 컴퓨터를 뒤바꾸며. 그것이 60분 이내에 닦을 수 있는 네트워크 몫에 그 파일들은destroyed 남아 있다. 그 악성 코드와 심지어 순환 재감염에 대한 보호를 포함하는 끈기를 사용하지 않습니다.

이후 이 사건의 가장 두드러진 측면의‘귀인 지옥’ . 그 공격 이후에 이 세계의 연구 팀과 미디어 회사들 여러가지로, 러시아, 중국, 북한 – 있는 많은 특성들을 이전에 근거한 공격 탓으로 돌렸다.cyber-espionage 그리고 사보타주 그룹 이른바 이러한 나라들에서 또는 이런 나라들의 정부를 위해 일하는 따라 기여했다.

우리들 자신의 연구자들은 집단이 이번 공격의 배후가 이해하기 노력하고 있었다. 우리가 연구 중에 어느 한 단계에서는, 우리가 라자 러스 그룹은 공격 배후에 있었음을 나타내는 것처럼 보였다 뭔가 발견했죠 우리는 독특한 추적은 정확히 일 이전에 알려지는 라자 루스를 맬웨어 성분과 인질범들에 의해 남겨진 것을 발견했다. 그러나 부족들 중 분명한 동기와 모순으로 알려진 라자 러스 TTPs(전술, 기술, 절차)은 우리가 찾은 중에 현지 조사에서 제대로 발휘되지 못하는 시설에섰다.한국 이 유물을 보는 것을 이끌었다. 우리가 그렇게 하면, 우리가 특징의 세트는 코드는 완벽하게 지문 라자 러스에서 사용하는에 맞춰 위조됐다는 – 일치하지 않다는 것을 발견했다. 그래서 우리는‘지문’ 아주 정교한 위장 술책의 명령 위협 사냥꾼 느낌 a을 발견했던 것을 해 주기 위해 의도적으로 악성 코드 안에 올려 놓는 것‘smokinggun’ 과는 보다 정확한 귀인에서 그들을 전용함.

그 문제 귀인과 관련된 진지하게 받아들여야 한다. 어떻게 정치화된 사이버 공간 최근에는, 부정확한 귀인 심각한 결과로 이어질 수 있다는, 그리고 감안할 때 그 위협이 된 배우들이의 의견을 능숙하게 다루려고 노력하을 수도 있습니다.안보 공동체 위해 지정학적 의제에 영향을 미칠.

Sofacy 동으로 변한다

카스퍼스키 랩 많은년 동안 2월에 추적해 왔다 Sofacy(TimeAPT28, 팬시 베어와 황제 팀) 있고 활발한 활동적인 cyber-espionage 그룹의 개요를 발간했다.2017년에 Sofacy 활동, 중동, 중앙 아시아와 그 이후에 목표를 향한 민족이 2017년을 시작할 때NATO-related 목표에서 이사해를 알 수 있다. Sofacy 계정 자격 증명, 민감한 통신과 문서들을 포함한 신상 정보를 훔치려고 spear-phishing과watering-hole 공격을 사용한다. 이 위협 배우는 또한 악성 코드를 배치할 컴퓨터 보안 취약성 등을 사용한다.

Sofacy 다른 대상 프로파일에 대해 다른 도구를 사용한다. 이른 2017년에 그룹의‘딜러스 초이스’ 캠페인과 군사 외교적 조직(나토 국가들과 우크라이나에서 주로)을 표적으로 삼는데 사용되었다.

올해 후반에, 이 그룹은 무기고,‘Zebrocy’ 과 'SPLM에서 기구들의 과학과 공학 센터들과 기자 점점 더 포함하는 광범위한, 타겟 쪽으로 다른 도구를 사용했어.중앙 아시아 및 극동에 대한 초점과.

Sofacy 같은 세련된 위협 배우들 계속적으로 일어났다. 그 집단과 그 악성 코드 하드를 감지하는 것에 초점을 맞춘 작전 보안의 높은 수준을 유지하면서 그들이 사용하는 도구를 개발하다. Sofacy 같은 한때 활동의 흔적이 있는 네트워크에서 발견되었습니다 그룹의 경우, 시스템에 로그인과 특이한 관리자 액세스, 완전히 검사를 검토하는 것이 중요합니다.그리고sandbox 들어오는 첨부 파일 및 전자 메일 및 VPN접속 등과 같은 서비스에 대한 이중 인증을 유지한다. APT지능 보고서의 사용, YARA과 KATA(카스퍼스키 안티 타겟 공격 플랫폼) 같은 진보된 탐지 솔루션 등과 같은 위협 사냥 도구 그들의 이해하는데 도움이 되길.와 그들의 활동을 감지함의 강력한 방법들이 대상이다.

우리 연구에 따르면 Sofacy 있지 않는 단 하나의 위협 행위자는 극동 지역에 법인과 이는 가끔 다른 위협 행위자들 간 목표를 겹치는 부분에 결과를 보여 준다. 우리는 Sofacy의 Zebrocy 악성 코드 피해자의 컴퓨터에 액세스를 위해 Russian-speaking 모기 Turla이 있고;그리고 어디에 SPLM backdoor로 출전했다 출전했다 보아 왔다.전통적인 Turla과 Chinese-speaking Danti 공격이 있었다. 공유 목표 행정, 기술, 과학과 중앙 아시아에서 기무사 조직 포함되어 있었다.

가장 흥미로운 겹침 아마도 사이에 Sofacy과 영어를 사용하는 위협 배우 그 Lamberts 뒤에 있다. 후 연구원들 Sofacy의 그레이 램버트 악성 코드로 도통 그 위협 정보 이전에 확인했다 서버에 존재를 포착한 연결이 발견되었다. 그 서버 디자인과 항공 우주 산업과 방공 기술을 생산하는 중국 대기업에 속해 있다. 하지만, 이 사건에서 원본 SPLM 배달 벡터는 미지수다. 이 가설 가능성의 사실 Sofacy, 또는 Sofacy게 해서든지 그럭저럭 해내고 아직 감지되지 못한 새로운 공적 또는 그 백도어의 새로운 변종은 사용하고 있을 포함한 많은을 발생시킵니다.그 바이러스를 다운로드 받기 그레이 램버트의 커뮤니케이션 채널을 이용한다. 그것은 될 수도 있는 위장 술책, 그 이전의 램버트 감염 중에 심었어요. 우리는 가장 유력한 답은 알 수 없는 새로운 PowerShell스크립트 또는지만 취약한 합법적인 웹 앱 및 시행하 SPLM 코드를 로드할 개발되고 있다고 생각한다.

새총:네트워크에 route[r].

중동과 아프리카에서 2012년 이후 피해자들이 표적으로 삼고 있는 정교한 cyber-espionage 플랫폼 한 올해의 카스퍼스키 안전 보장 분석가 정상 회의에서 프리젠테이션의 보고서다.

새총 특이한(그리고, 우리가 아는 한 독특한)공격 벡터를 사용한다. 희생자들의 많은 타협 MikroTik 라우터의 방법으로 공격을 받았다. 라우터들을 손상시키는 정확한 방법지만 해커들은 그 장치에 악의적인 DLL을 추가하기 위해 발견된지 분명하지 않다. 는 그러면 라우터에 저장된 다른 악성 파일을 이 DLL은을. 시스템 관리자가 라우터, 라우터의 관리 소프트웨어 다운로드를 구성하고 관리자의 컴퓨터에 악성 모듈을 운영하고 있에 기록한다.

두 강력한 거대한 것:Cahnadr는 커널 모드 및 모듈 GollumApp, 사용자 모드 모듈을 포함한 새총 부하들은 피해자의 컴퓨터에 모듈의 수다. 두 모듈 및 탈출 정보, 지속성과 데이터 수집을 위한 지원 서로 연결되어 있다. GollumApp 가장 그 모듈:그것과 끈기, 파일 시스템 제어 및 C2(Command-and-Control)의 일과의 대부분을 공급한다. 거의 1,500user-code 함수가 포함되어 있은 정교하다.통신. Cahnadr(또한 NDriver으로 알려져)네트워크 IO작업 등을 위한 하위 수준 정해진 일들을 포함하고 있다. 그것의 커널 모드 프로그램이나 파란 색 화면을 야기하는 놀라운 성적 –은 전체 파일 시스템지 않는 악성 코드를 실행할 수 있다. Cahnadr, 순수한 C언어로 쓰여진와 다양한 시스템의 무결성 통제 수행하는 하드 드라이브 및 작동 기억,notwithstanding 장치 보안 제한에 대한 모든 권한을 제공한다.구성 요소 디버깅 및 보안 추적을 피하기 위해서.

새총 기술은 탐지당하지 않는 것을 돕는 번호를 포함하고 있다. 이, security-product으로 우회하는 것을 직접 시스템 서비스를 호출하면anti-debugging 기술을 번호를 사용하는 것과 선택 그 모듈의 모든 문자열 암호화 등이 있다.과정은 설치되고 보안 솔루션 과정을 운영하고 따라 삽입하거나

2018년 1분기 목표 공격 활동에 대한 추가 정보 Q1은 2018년 APT동향 보고서에서 발견될 수 있다.

맬웨어 이야기

A스펙 트레 – 어느 곳이든 취약한 CPU와 함께 유럽 경제를 괴롭히고 있다.

2 심각한 취약성 인텔 CPU에 영향을 미치는 초 2018년에 보도됐습니다. ‘멜트 다운’ 과 'Spectre'으로 불리는 그들은 각각 공격자 어떤 과정과 그것의 자신의 과정에서 기억을 읽도록 한다. 그 취약성에 적어도 2011년부터 존재해 왔다.

는 LKML(리눅스 커널 메일링 리스트)에 이메일은 리눅스 커널에 KAISER 패치를 추가하는 나타났다 인텔 CPU에 새로운 공격 사태 소문이 12월 2017년의 출발로 드러났어요. 이 패치, 커널을 주소 공간에서 사용자 주소 공간 분리하도록 설계된 원래 커널 주소 information'에 모든 하드웨어적인 측면 채널 'close려는 의도였다. 이 명확한 성능 영향이 있는 그 소문들 서두르고 있다고 이 단호한 조치, 있는 영향.

이 공격 지금 멜트 다운(CVE-2017-5754)으로 알려진 호스트 시스템에 프로세스에서 데이터를 읽어 올 수 있다. 반면 코드 실행이 필요하다, 이 예를 들어 다양한 방법 –에 소프트웨어의 버그이거나 그 실행되며 자바 스크립트 코드 로드 악성 웹 사이트를 방문하여를 통해 얻어질 수 있다.Meltdown 공격. 이는 취약성 제대로 이용된다는 모든 데이터 메모리(비밀 번호 암호화 키, PIN등)에 거주했던 읽을 수 있다는 의미이다. 멜트 다운 대부분의 인텔 CPU및 일부 ARMCPU에 영향을 미친다.

상인들은 가장 인기 있는 운영 체제를 위한 패치를 출간할 수 있게 됐습니다. Microsoft업데이트 1월 3일에 발표한 – 아마 양립할 수 없는 체제에서는 BSoD(죽음의 블루 스크린)의 결과 모든 바이러스 프로그램과 호환되지 않았다. 만약 바이러스 백신 제품 먼저 특정 레지스트리 키 설정했었다 그래서 업데이트만 그는 호환성 문제가 있음을 나타내기 위해 설치될 수 있다.

스펙 트레(CVE-2017-5753과 CVE-2017-5715)약간. 멜트 다운과 달리 이번 공격 또한 다른 구조들에 대한(AMD와 ARM과 같은)여러 있다. 또한 스펙 트레는려면 과정의 메모리 공간을 읽지 않는 절차의 줄 수 있다. 더 중요한 것은, 몇몇의 브라우저에 어떤 대책에는 이외에도, 일반적인 해결 방법 쉽게 스펙 트레에 사용할 수 있다.

그것은 취약점의 보도 이후 몇주 동안 그들이 쉽게 고정시킬 수 있는 것은 아니다 명확해 졌다. 스펙 트레 특히 착취의 수개월, 수년 간에 다른 소프트웨어에 악영향을 미칠 새로운 방법을 열었다. 풀려난 패치의 대부분의, 자신들을 착취하고 알려진 방법에 대해 완화하지만 완전히 그것을 근절하지 않는 공격 표면이 줄어들고 있다. 이 문제이므로 취약한 CPU의 일에 근본적인 것은, 상인들 다가올 해의 취약성을 활용하는 새로운 방법과 거래해야 할 가능성이 큽니다.

O스마트 새로운 world…

요즘 우리는 스마트 기기에 있다. 이 TV 같은 매일 집안의 집기에 스마트 미터, 자동 온도 조절 장치, 아기 모니터와 어린이 장난감을 포함한다. 그러나 그것은 또한 자동차, 의료 기기, CCTV카메라와 주차 포함한다. 우리는 심지어 스마트 도시의를 목도하고 있습니다. 하지만, 다른 사람 보안 약점들을 어떤 목적으로 –를 이용할 더 큰 공격 표면을 제공한다. 기존의 컴퓨터에서의 어렵다. 하지만 상황은 인터넷 사물, 표준화 부족 개발자 또는 나중에 생각이 나서. 그것을 고려할 보안을 무시할 수 있잎과 함께 문제가 많다. 사례는 이것을 설명할 많다.

우리는 전에 취약성에 스마트 기기에 그 집 근처를 찾아봤어요. 하지만 일부 연구원의 최근 똑똑한 허브를 공격하기 취약하다 탐험하기 시작했다. 똑똑한 허브 당신은 다른 스마트 기기의 집에서 운전 제어하고 명령 발행 정보를 수신할 수 있습니다. 스마트 허브 터치 스크린, 또는 모바일 앱 또는 웹 인터페이스를 통해 제어할 수 있습니다. 만약 취약한 생물일텐데요, 잠재적으로 실패에 대한 단일 지점을 제공할 것이다. 우리 연구원들 조사 스마트 허브 중요한 취약성을 포함하지 않았어, 있는 충분히 연구원 원격 액세스를 가져올 수 있도록 논리적 오류가 있다.