Pasak saugos pardavėjo „FireEye“, kenkėjiškos programinės įrangos įrankis, ko gero, labiausiai naudojamas įsilaužti į RSA „SecurID“ infrastruktūrą, vis dar naudojamas tikslinėms atakoms.
„Poison Ivy“ yra nuotolinės prieigos Trojanas (RAT), išleistas prieš aštuonerius metus, tačiau vis dar mėgstamas kai kurių įsilaužėlių, rašė „FireEye“ naujame pranešime, išplatintame trečiadienį. Jis turi gerai pažįstamą „Windows“ sąsają, jį lengva naudoti ir jis gali registruoti klavišų paspaudimus, pavogti failus ir slaptažodžius.
[Saugumo ekspertas Rogeris A. Grimesas siūlo pažintinę apžvalgą apie naujausias grėsmes ir paaiškina, ką galite padaryti, kad jas sustabdytumėte vaizdo įraše „Kovok su šiandienos kenkėjiškomis programomis“. | Sekite svarbiausias saugumo problemas naudodamiesi tinklaraščio patarėju tinkle ir „Security Central“ naujienlaiškiu. ]
Kadangi „Poison Ivy“ vis dar naudojamas taip plačiai, „FireEye“ teigė, kad saugumo analitikams sunkiau susieti jo naudojimą su konkrečia įsilaužimų grupe.
Savo analizei bendrovė surinko 194 „Poison Ivy“ pavyzdžius, naudojamus 2008 m. Atakose, atsižvelgdama į slaptažodžius, kuriuos užpuolikai naudojo norėdami pasiekti RAT ir naudojamus komandų ir valdymo serverius.
Trys grupės, viena iš kurių, atrodo, yra Kinijoje, naudojo Poison Ivy tikslinėms atakoms, vykusioms mažiausiai ketverius metus. „FireEye“ identifikavo grupes pagal slaptažodžius, kuriuos jie naudoja norėdami pasiekti „Poison Ivy RAT“, kurį jie įdėjo į taikinio kompiuterį: admin338, th3bug ir menuPass.
Manoma, kad „admin388“ grupė aktyviai veikė jau 2008 m. Sausio mėn., Nukreipta į interneto paslaugų teikėjus, telekomunikacijų bendroves, vyriausybines organizacijas ir gynybos sektorių, rašė „FireEye“.
Į aukas ta grupė paprastai nukreipia el. Pašto adresus, kuriuose yra sukčiavimo, kuriuose yra kenkėjiškas „Microsoft Word“ arba PDF priedas su „Poison Ivy“ kodu. El. Laiškai yra anglų kalba, tačiau el. Laiško tekste naudojami kiniški simboliai.
Nuodų Ivy buvimas gali reikšti ryškesnį užpuoliko susidomėjimą, nes jis turi būti valdomas rankiniu būdu realiuoju laiku.
„RAT yra daug asmeniškesni ir gali reikšti, kad turite reikalų su atsidavusiu grėsmių veikėju, kuris domisi būtent jūsų organizacija“, - rašė „FireEye“.
Siekdama padėti organizacijoms aptikti „Poison Ivy“, „FireEye“ išleido „Calamine“ - dviejų įrankių rinkinį, skirtą iššifruoti jo šifravimą ir išsiaiškinti, ką jis vagia.
Pavogtą informaciją „Poison Ivy“ užšifruoja naudodama „Camellia“ šifrą su 256 bitų raktu, kol ji siunčiama į nuotolinį serverį, rašė „FireEye“. Šifravimo raktas gaunamas iš slaptažodžio, kurį užpuolikas naudoja „Poison Ivy“ atrakinti.
Daugelis užpuolikų paprasčiausiai naudoja numatytąjį slaptažodį „admin“. Bet jei slaptažodis pasikeitė, jį perimti galima naudoti vieną iš „Calamine“ įrankių - „PyCommand“ scenarijų. Antrasis „Calamine“ įrankis gali iššifruoti „Poison Ivy“ tinklo srautą, o tai gali parodyti, ką užpuolikas veikė.
„Calamine negali sustabdyti ryžtingų užpuolikų, naudojančių„ Poison Ivy “, - perspėjo„ FireEye “. - Bet tai gali gerokai apsunkinti jų nusikalstamą veiklą.
Naujienų patarimus ir komentarus siųskite adresu [email protected]. Sekite mane „Twitter“: @jeremy_kirk.
