มัลแวร์ใหม่ที่เป็นอันตรายเกิน 50 บริการป้องกันไวรัส

มัลแวร์ใหม่ที่เป็นอันตรายเกิน 50 บริการป้องกันไวรัส

นักวิจัยได้ค้นพบตัวอย่างมัลแวร์ใหม่ที่สามารถซ่อนจากผลิตภัณฑ์แอนตี้ไวรัสมากกว่า 50 รายการ (เปิดในแท็บใหม่) ที่มีจำหน่ายในตลาดในปัจจุบัน

มัลแวร์ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์จากหน่วยที่ 42 ทีมข่าวกรองภัยคุกคามของ Palo Alto Networks ทีมงานตรวจพบความเครียดครั้งแรกในเดือนพฤษภาคม เมื่อพวกเขาค้นพบว่ามันถูกสร้างขึ้นโดยใช้เครื่องมือ Brute Ratel (BRC4)

นักพัฒนาซอฟต์แวร์ของ BRC4 อ้างว่าพวกเขามีแม้กระทั่งผลิตภัณฑ์แอนตี้ไวรัสยอดนิยมที่ทำวิศวกรรมย้อนกลับเพื่อให้แน่ใจว่าเครื่องมือของพวกเขาจะหลบเลี่ยงการตรวจจับ

คุณภาพของการออกแบบและความเร็วในการเผยแพร่ไปยังปลายทางของเหยื่อ ทำให้ผู้สืบสวนเชื่อว่านักแสดงที่ได้รับการสนับสนุนจากรัฐอยู่เบื้องหลังการรณรงค์

วิธีรัสเซีย

แม้ว่าเครื่องมือนี้จะเป็นอันตราย แต่นักวิจัยก็มีความสนใจในเส้นทางการจัดจำหน่ายมากกว่า ซึ่งบ่งชี้ว่าผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐมีส่วนเกี่ยวข้อง

มัลแวร์ถูกแจกจ่ายในรูปแบบของเอกสาร CV ปลอม CV เป็นไฟล์ ISO ที่เมื่อต่อเชื่อมกับไดรฟ์เสมือน จะแสดงบางอย่างเช่นเอกสาร Microsoft Word

ในขณะที่นักวิจัยยังไม่สามารถระบุได้ชัดเจนว่าใครเป็นผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง BRC4 พวกเขาสงสัยว่า APT29 ของรัสเซีย (หรือที่รู้จักในชื่อ Cozy Bear) ได้ใช้ ISO เป็นอาวุธในอดีต

เงื่อนงำอีกประการหนึ่งที่บ่งชี้ว่านักแสดงที่ได้รับการสนับสนุนจากรัฐกำลังเล่นอยู่คือความเร็วที่ BRC4 ถูกขุด ISO ถูกสร้างขึ้นในวันเดียวกับที่เปิดตัว BRC4 เวอร์ชันล่าสุด

“การวิเคราะห์ตัวอย่างทั้งสองที่อธิบายไว้ในบล็อกนี้ พร้อมด้วยการประดิษฐ์ขั้นสูงที่ใช้ในการบรรจุเพย์โหลดเหล่านี้ แสดงให้เห็นอย่างชัดเจนว่าผู้โจมตีทางไซเบอร์ที่เป็นอันตรายได้เริ่มนำความสามารถนี้ไปใช้” หน่วยที่ 42 เขียนในบล็อกโพสต์

“เราเชื่อว่ามีความจำเป็นที่ผู้จำหน่ายความปลอดภัยทุกรายจะต้องสร้างการป้องกันเพื่อตรวจจับ BRC4 และทุกองค์กรจะต้องดำเนินการเชิงรุกเพื่อป้องกันเครื่องมือนี้”

ผ่าน: The Registry (เปิดในแท็บใหม่)