Forskere ved Cylance analyseret en ny implantat udviklet af cyberkriminalitet gruppe Fancy Bjørn (også kendt som APT28). Den nye bagdør, der lancerede Fancy Bjørn er skabt med det mål at besejre forsvar baseret på AI og machine learning.
ENccording til forskerne, Det kriminelle fjernet de fleste af de ondsindede funktioner fra deres oprindelige bagdør, skjule det i en enorm mængde af legitim kode.Implantatet er en multi-threaded DLL-bibliotek, der tilvejebringer den gruppering fuld adgang til målsystemet og kontrol over det.
”Analyse afslører implantatet er en multi-threaded DLL bagdør, der giver truslen skuespiller (TA) fuld adgang til, og kontrol af, målet vært. Når kommando af C2, implantatet kan uploade eller downloade filer, skabe processer, interagere med værten via en kommando shell og forbindelse til C2 henhold til en defineret søvn / aktivitet tidsplan”, - rapport Cylance specialister.
Denne tilgang viser den sofistikerede arbejde cyberkriminelle. Forfatterne af implantatet maske det ved hjælp af sådanne kendte biblioteker som OpenSSL og udbredte POCO C ++ compiler, som et resultat af hvilket 99% på mere end 3 megabyte kode er klassificeret som legitim. På denne måde, angribere forsøger at komme rundt udviklende sikkerhedssystemer, eksperter foreslår.
”Da filen er pakket som en DLL, hensigten er at injicere det i en langvarig proces, der er givet adgang til internettet (såsom en NetSvc tjeneste gruppe) eller en, der har lokale firewall tilladelser. Vi tror ikke denne DLL er beregnet til at fungere som et modul til et større værktøj”, - konkludere Cylance forskere.
I fortiden, cyberkriminelle brugt forskellige metoder til unddrage beskyttelsessystemer computer, de omfattede oftest kryptere dele af en fil for at forhindre antivirus detektion. Desuden, cyberkriminelle brugt domænenavn generation algoritmer til at efterfølgende hente koden fra svære at nå steder, forbigå antivirus scanninger.
Masking malware som legitim kode er en gammel cyberkriminelle teknik. Snyd er en central del af deres værktøjskasse, men overbevisende machine learning algoritmer konstrueret til sporing skadelig kode funktioner er meget vanskeligere.
Læs også: På trods af den ærværdige alder af 9 flere år, Kina Chopper bagdør er stadig effektiv
APT28 har været i drift siden i hvert fald 2007 og nu har specialiseret sig i at stjæle fortrolige oplysninger i forbindelse med regeringen og militære strukturer. APT28 systematisk udvikler sin malware og anvender avancerede kodningsmetoder, der komplicerer analysen af dets malware.
