นักวิจัยได้ค้นพบตัวอย่างมัลแวร์ใหม่ที่สามารถซ่อนจากผลิตภัณฑ์แอนตี้ไวรัสมากกว่า 50 รายการ (เปิดในแท็บใหม่) ที่มีจำหน่ายในตลาดในปัจจุบัน
มัลแวร์ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์จากหน่วยที่ 42 ทีมข่าวกรองภัยคุกคามของ Palo Alto Networks ทีมงานตรวจพบความเครียดครั้งแรกในเดือนพฤษภาคม เมื่อพวกเขาค้นพบว่ามันถูกสร้างขึ้นโดยใช้เครื่องมือ Brute Ratel (BRC4)
นักพัฒนาซอฟต์แวร์ของ BRC4 อ้างว่าพวกเขามีแม้กระทั่งผลิตภัณฑ์แอนตี้ไวรัสยอดนิยมที่ทำวิศวกรรมย้อนกลับเพื่อให้แน่ใจว่าเครื่องมือของพวกเขาจะหลบเลี่ยงการตรวจจับ
คุณภาพของการออกแบบและความเร็วในการเผยแพร่ไปยังปลายทางของเหยื่อ ทำให้ผู้สืบสวนเชื่อว่านักแสดงที่ได้รับการสนับสนุนจากรัฐอยู่เบื้องหลังการรณรงค์
วิธีรัสเซีย
แม้ว่าเครื่องมือนี้จะเป็นอันตราย แต่นักวิจัยก็มีความสนใจในเส้นทางการจัดจำหน่ายมากกว่า ซึ่งบ่งชี้ว่าผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐมีส่วนเกี่ยวข้อง
มัลแวร์ถูกแจกจ่ายในรูปแบบของเอกสาร CV ปลอม CV เป็นไฟล์ ISO ที่เมื่อต่อเชื่อมกับไดรฟ์เสมือน จะแสดงบางอย่างเช่นเอกสาร Microsoft Word
ในขณะที่นักวิจัยยังไม่สามารถระบุได้ชัดเจนว่าใครเป็นผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง BRC4 พวกเขาสงสัยว่า APT29 ของรัสเซีย (หรือที่รู้จักในชื่อ Cozy Bear) ได้ใช้ ISO เป็นอาวุธในอดีต
เงื่อนงำอีกประการหนึ่งที่บ่งชี้ว่านักแสดงที่ได้รับการสนับสนุนจากรัฐกำลังเล่นอยู่คือความเร็วที่ BRC4 ถูกขุด ISO ถูกสร้างขึ้นในวันเดียวกับที่เปิดตัว BRC4 เวอร์ชันล่าสุด
"การวิเคราะห์ตัวอย่างทั้งสองที่อธิบายไว้ในบล็อกนี้ พร้อมกับการประดิษฐ์ขั้นสูงที่ใช้ในการบรรจุข้อมูลเหล่านี้ แสดงให้เห็นชัดเจนว่าผู้โจมตีทางไซเบอร์ที่มุ่งร้ายได้เริ่มใช้ความสามารถนี้แล้ว" หน่วยที่ 42 เขียนไว้ในบล็อกโพสต์
"เราเชื่อว่าจำเป็นที่ผู้จำหน่ายความปลอดภัยทุกรายต้องสร้างการป้องกันเพื่อตรวจจับ BRC4 และทุกองค์กรต้องดำเนินการเชิงรุกเพื่อป้องกันเครื่องมือนี้"
ผ่าน: The Registry (เปิดในแท็บใหม่)
