LuckyMouse grupa se vratila i sada koristi legitimne sertifikate za malver

GReAT tim za globalna istraživanja i analize u kompaniji Kaspersky Lab otkrio je nekoliko infekcija do sada nepoznatog Trojanca, najverovatnije povezanog sa ozloglašenim akterom pretnji sa Kineskog govornog područja – grupom LuckyMouse. Najočiglednija osobina ovog malvare-a je ručno odabran drajver potpisan legitimnim digitalnim sertifikatom, konstruisanim od strane kompanije koja se bavi razvojem informaciono-bezbednosnog softvera.

Grupa LuckyMouse poznata je po visoko ciljanim sajber napadima na velike entitete širom sveta. Aktivnost grupe predstavlja opasnost za čitave regione, uključujući jugoistočnu i centralnu Aziju, jer se čini da njihovi napadi imaju političku agendu. Sudeći po profilima žrtava i prethodnim vektorima napada, istraživači kompanije Kaspersky Lab smatraju da je trojanac koji su otkrili možda do sada bio korišćen za sajber-špijunažu pod pokroviteljstvom države.

Trojanac kojeg su otkrili stručnjaci kompanije Kaspersky Lab zarazio je ciljani računar pomoću drajvera koji su izradili akteri pretnji. Ovo je omogućilo napadačima da izvršavaju sve uobičajene zadatke kao što su izvršenje naredbi, preuzimanje i otpremanje datoteka i presretanje mrežnog saobraćaja.

Drajver se pokazao kao najzanimljiviji deo ove kampanje. Da bi ga učinila pouzdanim, grupa je očigledno ukrala digitalni sertifikat koji je pripadao kompaniji koja se bavi razvojem informaciono-bezbednosnog sofvera i koristila ga za potpisivanje uzoraka malvera. Ovo je učinjeno u pokušaju da se izbegne njegovo otkrivanje od strane bezbednosnih rešenja, jer legitimni potpis čini da malver deluje kao legalni softver.

Još jedna važna karakteristika ovog drajvera je da je, uprkos sposobnosti grupe LuckyMouse da kreira sopstveni zlonamerni softver, softver koji se koristio u napadu izgledao kao kombinacija javno dostupnih uzoraka kodova iz javnog skladišta i kastomizovanog malvera. Takvo jednostavno usvajanje spremnog koda treće strane umesto pisanja originalnog koda štedi vreme programeru i otežava atribuciju tog koda akterima pretnji.

"Nove kampanje grupe LuckyMouse gotovo se uvek pojavljuju uporedo sa veoma važnim i propraćenim političkim događajima, a vreme napada najčešće se poklapa sa samitima svetskih lidera. Ovaj akter pretnji nije previše zabrinut zbog atribucije - sada kada u svoje programe implementiraju šifre kodova trećih strana, dodavanje još jednog sloja njihovim dropper virusima ili razvijanje modifikacije malvera ne bi im oduzelo previse vremena, a i dalje bi ostali neotkriveni", - istakao je Denis Legezo, bezbednosni istraživač u kompaniji Kaspersky Lab.

Kompanija Kaspersky Lab ranije je izveštavala o napadima LuckyMouse grupe na nacionalni centar za podatke kako bi se organizovala“waterholing” kampanja na nivou države.

Kako da se zaštitite:

  • Nemojte rutinski verovati kodu na vašim sistemima. Digitalni sertifikati ne garantuju odsustvo bekdor virusa.

  • Koristite robusno bezbednosno rešenje, opremljeno tehnologijama za otkrivanje zlonamernog ponašanja koje omogućavaju detekciju čak i ranije nepoznatih pretnji.

  • Pretplatite bezbednosni tim vaše organizacije na visokokvalitetnu uslugu izveštavanja o pretnjama kako biste dobili pristup informacijama o najnovijim dešavanjima, taktikama, tehnikama i procedurama sofisticiranih aktera pretnji.