Podle dodavatele zabezpečení FireEye se škodlivý software, který se nejznámějším způsobem používá k hackování infrastruktury SecurID společnosti RSA, stále používá při cílených útocích.
Poison Ivy je trojský kůň se vzdáleným přístupem (RAT), který byl vydán před osmi lety, ale někteří hackeři si ho stále oblíbili, napsal FireEye v nové zprávě vydané ve středu. Má známé rozhraní Windows, snadno se používá a dokáže zaznamenávat stisknutí kláves, krást soubory a hesla.
[Bezpečnostní expert Roger A. Grimes nabízí komentovanou prohlídku nejnovějších hrozeb a vysvětluje, co můžete udělat, abyste je zastavili ve videu Shop Talk „Fight Today's Malware“. | Zůstaňte v kontaktu s klíčovými bezpečnostními problémy pomocí blogu Security Adviser a zpravodaje Security Central. ]
Vzhledem k tomu, že Poison Ivy je stále tak široce používán, FireEye uvedla, že je pro bezpečnostní analytiky těžší spojit jeho použití s konkrétní hackerskou skupinou.
Pro svoji analýzu společnost shromáždila 194 vzorků jedovatých břečťanů použitých při útocích datovaných do roku 2008 a zkoumala hesla, která útočníci používali pro přístup k RAT a použitým serverům velení a řízení.
Tři skupiny, z nichž se jedna zdá, že sídlí v Číně, používají jedovatý břečťan k cíleným útokům, které se vracejí nejméně před čtyřmi lety. FireEye identifikoval skupiny podle hesel, která používají pro přístup k Poison Ivy RAT, které umístili do počítače cíle: admin338, th3bug a menuPass.
Předpokládá se, že skupina admin388 je aktivní již v lednu 2008 a zaměřuje se na ISP, telekomunikační společnosti, vládní organizace a obranný sektor, napsal FireEye.
Tato skupina se na oběti obvykle zaměřuje pomocí e-mailů s phishingem oštěpů, které obsahují škodlivou přílohu Microsoft Word nebo PDF s kódem Poison Ivy. E-maily jsou v angličtině, ale používají čínskou znakovou sadu v těle e-mailové zprávy.
Přítomnost jedovatého břečťanu může naznačovat náročnější zájem útočníka, protože musí být ovládán ručně v reálném čase.
„RAT jsou mnohem osobnější a mohou naznačovat, že máte co do činění se specializovaným aktérem hrozeb, který se konkrétně zajímá o vaši organizaci,“ napsal FireEye.
Aby organizace pomohly detekovat Poison Ivy, vydala společnost FireEye soubor „Calamine“, sadu dvou nástrojů určených k dekódování jeho šifrování a zjištění, o co jde.
Ukradené informace šifruje Poison Ivy pomocí šifry Camellia s 256bitovým klíčem před odesláním na vzdálený server, napsal FireEye. Šifrovací klíč je odvozen od hesla, které útočník používá k odemčení Poison Ivy.
Mnoho útočníků jednoduše použije výchozí heslo „admin“. Pokud se ale heslo změnilo, lze k jeho zachycení použít jeden z nástrojů Calamine, skript PyCommand. Druhý nástroj Calamine pak může dešifrovat síťový provoz Poison Ivy, což může poskytnout informace o tom, co útočník dělal.
„Calamine nemusí zastavit odhodlané útočníky, kteří používají jedovatý břečťan,“ varoval FireEye. „Ale to může jejich kriminální snahy tak ztížit.“
Pošlete tipy a komentáře na novinky na [email protected]. Sledujte mě na Twitteru: @jeremy_kirk.
