telecomsnews.gr
Image default
INTERNET

Μια επίθεση τύπου watering-hole βρέθηκε ελεύθερη στο διαδίκτυο

Περισσότεροι από 10 ιστοτόποι που σχετίζονται με θρησκεία, εθελοντικά προγράμματα, φιλανθρωπία και πολλούς άλλους τομείς υπονομεύθηκαν για να προκαλέσουν επιλεκτικά μία drive-by download επίθεση, η οποία είχε ως αποτέλεσμα την εγκατάσταση backdoor στις συσκευές των στόχων.

Οι ερευνητές της Kaspersky ανακάλυψαν την watering-hole εκστρατεία με στόχο χρήστες στην Ασία από τον Μάιο του 2019. Οι επιτιθέμενοι χρησιμοποίησαν ένα δημιουργικό σύνολο εργαλείων, το οποίο περιελάμβανε το GitHub και τη χρήση ανοιχτού κώδικα.

Μια επίθεση τύπου «watering-hole» είναι μια στοχευμένη στρατηγική επίθεσης στην οποία οι εγκληματίες του κυβερνοχώρου παραβιάζουν ιστοσελίδες που θεωρούνται γόνιμο έδαφος για πιθανά θύματα και περιμένουν το «φυτεμένο» κακόβουλο λογισμικό να καταλήξει στους υπολογιστές τους. Προκειμένου να εκτεθεί στο κακόβουλο λογισμικό, ο χρήστης πρέπει απλώς να επισκεφθεί έναν παραβιασμένο ιστότοπο, ο οποίος καθιστά αυτό το είδος επίθεσης εύκολο να εξαπλωθεί και επομένως πιο επικίνδυνο. Στην εκστρατεία που ονομάστηκε από τους ερευνητές της Kaspersky «Holy Water», έχουν δημιουργηθεί «water-holes» σε ιστοσελίδες που ανήκουν σε προσωπικότητες, δημόσιους φορείς, φιλανθρωπικούς οργανισμούς και άλλους πολλούς.

Αυτή η επίθεση πολλαπλών σταδίων με ένα απλό αλλά δημιουργικό σύνολο εργαλείων ξεχωρίζει για τη γρήγορη εξέλιξή της από την ημερομηνία έναρξής της, καθώς και από το ευρύ φάσμα εργαλείων που χρησιμοποιήθηκαν.

Κατά την επίσκεψη σε μια από τις «water-holing» ιστοσελίδες, ένας προηγουμένως παραβιασμένος πόρος θα φορτώσει ένα συγκεχυμένο κακόβουλο JavaScript, το οποίο συγκεντρώνει πληροφορίες σχετικά με τον επισκέπτη. Έπειτα, ένας εξωτερικός server διαπιστώνει εάν ο επισκέπτης είναι στόχος. Εάν ο επισκέπτης επικυρωθεί ως στόχος, το δεύτερο στάδιο JavaScript θα φορτώσει ένα plugin, το οποίο με τη σειρά του θα ενεργοποιήσει μια download επίθεση, εμφανίζοντας ένα ψεύτικο αναδυόμενο με ενημερώσεις Adobe Flash.

Στη συνέχεια, ο επισκέπτης αναμένεται να δελεαστεί από την παγίδα ενημέρωσης και να πραγματοποιήσει λήψη ενός πακέτου κακόβουλου προγράμματος εγκατάστασης το οποίο θα δημιουργήσει ένα backdoor με το όνομα Godlike12, παρέχοντας στον απειλητικό φορέα την πλήρη απομακρυσμένη πρόσβαση στη «μολυσμένη» συσκευή, επιτρέποντάς του να τροποποιήσει αρχεία, να συλλέξει εμπιστευτικά δεδομένα από τον υπολογιστή, να καταγράψει δραστηριότητα στον υπολογιστή και πολλά άλλα. Ένα άλλο backdoor, μια τροποποιημένη έκδοση του backdoor Python ανοιχτού κώδικα που ονομάζεται Stitch, χρησιμοποιήθηκε επίσης στην επίθεση. Παρείχε κλασικές λειτουργίες backdoor δημιουργώντας μια άμεση σύνδεση υποδοχής για την ανταλλαγή κρυπτογραφημένων δεδομένων AES με τον απομακρυσμένο server.

Το ψεύτικο αναδυόμενο παράθυρο Adobe Flash συνδέθηκε με εκτελέσιμο αρχείο που φιλοξενήθηκε στο github.com με το πρόσχημα ενός αρχείου ενημέρωσης Flash. Το GitHub το απενεργοποίησε στις 14 Φεβρουαρίου 2020, κατόπιν σχετικής αναφοράς της Kaspersky, σπάζοντας έτσι την αλυσίδα μόλυνσης της εκστρατείας. Ωστόσο, ήταν συνδεδεμένο για περισσότερους από 9 μήνες και χάρη στο ιστορικό της δέσμευσης του GitHub, οι ερευνητές κατάφεραν να αποκτήσουν μοναδική γνώση σχετικά με τη δραστηριότητα και τα εργαλεία του εισβολέα.

Αυτή η εκστρατεία ξεχωρίζει λόγω του χαμηλού προϋπολογισμού της και για το όχι πλήρως αναπτυγμένο σύνολο εργαλείων της, το οποίο έχει τροποποιηθεί αρκετές φορές μέσα σε λίγους μήνες για να αξιοποιήσει ενδιαφέροντα χαρακτηριστικά όπως το Google Drive C2. Η Kaspersky χαρακτηρίζει την επίθεση ως πιθανό έργο μιας μικρής κι ευέλικτης ομάδας.

-- Μια επίθεση τύπου watering-hole βρέθηκε ελεύθερη στο διαδίκτυο - --.

Related posts

Αγόρασε κλειδί Microsoft Office 2016 ή 2019 και πάρε δωρεάν κλειδί Windows 10!

tele

Βελτιωμένος σε πολλά σημεία ο νέος Mozilla Firefox 68

tele

Συνεργασία των Avira και TP-Link για την προστασία του «έξυπνου» σπιτιού

tele

Η Google μπαίνει δυναμικά στη μάχη των τηλεδιασκέψεων

tele

Το 6G υπόσχεται πολύ υψηλές ταχύτητες

tele

Καλές οι διαδικτυακές αγορές, αλλά πρέπει να γίνονται ασφαλώς

tele

Η Rakuten Viber γιορτάζει τα 9 χρόνια της εφαρμογής και χαρίζει δώρα

tele

Το πιο διαδεδομένο κακόβουλο λογισμικό για τον Απρίλιο σύμφωνα με την Check Point

tele

Έρευνα αποκαλύπτει ότι τέσσερις στους δέκα θα εγκατέλειπαν τα social media

tele

Κακόβουλες επιθέσεις πίσω από το κατέβασμα των επεισοδίων του Game of Thrones

tele

Ημερομηνία γέννησης ζητά από τα νέα μέλη του το Instagram

tele

Το 40% των παραβιάσεων δεδομένων επηρεάζει τις πληροφορίες πελατών

tele