Podľa dodávateľa zabezpečenia FireEye sa škodlivý softvér, ktorý sa najviac pravdepodobne používa na hacknutie infraštruktúry SecurID spoločnosti RSA, stále používa pri cielených útokoch.
Poison Ivy je trójsky kôň so vzdialeným prístupom (RAT), ktorý bol vydaný pred ôsmimi rokmi, ale niektorí hackeri ho stále uprednostňujú, napísal FireEye v novej správe zverejnenej v stredu. Má známe rozhranie systému Windows, ľahko sa používa a dokáže zaznamenávať stlačenia klávesov, kradnúť súbory a heslá.
[Bezpečnostný expert Roger A. Grimes ponúka komentovanú prehliadku najnovších hrozieb a vysvetľuje, čo môžete urobiť, aby ste ich zastavili vo videu Shop Talk „Fight Today's Malware“. | Držte krok s kľúčovými bezpečnostnými problémami pomocou blogu Security Adviser a bulletinu Security Central. ]
Pretože Poison Ivy je stále tak často používaný, FireEye uviedla, že pre bezpečnostných analytikov je ťažšie spojiť jeho použitie s konkrétnou hackerskou skupinou.
Spoločnosť pre svoju analýzu zhromaždila 194 vzoriek Poison Ivy použitých pri útokoch z roku 2008, pričom sledovala heslá použité útočníkmi na prístup k RAT a použitým serverom príkazu a riadenia.
Tri skupiny, z ktorých jedna sa javí ako usadená v Číne, používajú Poison Ivy na cielené útoky siahajúce najmenej štyri roky dozadu. FireEye identifikoval skupiny podľa hesiel, ktoré používajú na prístup k Poison Ivy RAT, ktoré umiestnili do cieľového počítača: admin338, th3bug a menuPass.
Predpokladá sa, že skupina admin388 je aktívna už v januári 2008 a zameriava sa na poskytovateľov internetových služieb, telekomunikačné spoločnosti, vládne organizácie a obranný sektor, napísal FireEye.
Táto skupina sa na obete zvyčajne zameriava pomocou e-mailov s phishingom, ktoré obsahujú spear phishing a obsahujú škodlivú prílohu Microsoft Word alebo PDF s kódom Poison Ivy. E-maily sú v angličtine, ale v tele e-mailovej správy sa používajú čínske znaky.
Prítomnosť Poison Ivy môže naznačovať náročnejší záujem útočníka, pretože musí byť ovládaný manuálne v reálnom čase.
„RAT sú oveľa osobnejšie a môžu naznačovať, že máte do činenia so špecializovaným aktérom hrozieb, ktorý sa konkrétne zaujíma o vašu organizáciu,“ napísal FireEye.
Na pomoc organizáciám pri detekcii Poison Ivy vydala spoločnosť FireEye sadu „Calamine“, sadu dvoch nástrojov určených na dekódovanie šifrovania a zisťovanie, čo kradne.
Ukradnuté informácie šifruje Poison Ivy pomocou šifry Camellia s 256-bitovým kľúčom predtým, ako sa odošlú na vzdialený server, napísal FireEye. Šifrovací kľúč je odvodený od hesla, ktoré útočník použije na odblokovanie Poison Ivy.
Mnoho útočníkov jednoducho použije predvolené heslo „admin“. Ak sa ale heslo zmenilo, je možné ho zachytiť pomocou jedného z nástrojov Calamine, skriptu PyCommand. Druhý nástroj Calamine potom môže dešifrovať sieťový prenos Poison Ivy, čo môže naznačiť, čo útočník robil.
„Calamine nemusí zastaviť odhodlaných útočníkov, ktorí používajú Poison Ivy,“ varoval FireEye. „Ale môže to tak sťažiť ich kriminálne úsilie.“
Tipy a komentáre k novinkám posielajte na adresu [email protected]. Sledujte ma na Twitteri: @jeremy_kirk.
