Criminals angegriffen US-Öl-Unternehmen mit Adwind Trojan

Unbekannt Cyber-Kriminellen angegriffenen Unternehmen in den USA im Zusammenhang Ölindustrie mit dem Adwind Trojan (andere Namen jRAT, AlienSpy, JSocket und Sockrat). RAT Adwind, die als Teil einer bösartigen Datendiebstahl Kampagne verwendet wurde, zuvor wurde gegen Unternehmen im Stromsektor verwendet.

EINaut Forscher aus Netskope, Anschläge werden durchgeführt von einer Domäne zu australischen Internet-Provider gehört, Westnet. Es bleibt unklar, ob die Mitglieder der Gruppe sind Westnet Kunden oder sie haben ihre Kundenkonten kompromittiert und nutzen sie Adwind zu verteilen.

„Wir haben mehrere RAT Proben auf der versorgenden Domain gehostet und auf mehrere Verzeichnisse verteilt, alle innerhalb des letzten Monats gehostet. Der Angreifer ist entweder ein Westnet Benutzer oder hat das Konto eines oder mehrere Westnet Benutzer kompromittiert. Der gleiche RAT wird von mehreren anderen Westnet Benutzern gehostet“, - Bericht Netskope Forscher.

Adwind RAT auf der darknet auf eine Reihe von Handelsplattformen angeboten, Laut Malware-as-a-Service Modell-, und in den letzten zwei Jahren wurde immer wieder in verschiedenen Kampagnen.

Die Malware ist in der Lage zu verschlüsseln und Filterdaten, Capture-Webcam-Bilder, überprüfen Festplatten für das Vorhandensein bestimmter Dateien auf Erweiterungen in der Malware-Konfiguration basiert, bösartigen Code in legitime Prozesse injizieren Erkennung zu vermeiden und den Zustand des Systems überwachen. Die Software ändert Registrierungseinstellungen Ausdauer, um sicherzustellen, und können Firewalls deaktivieren, Anti-Virus-Lösungen, und andere Sicherheitsdienste auf infizierten Geräten.

lesen Sie auch: Free Windows Rat Trojan Nanokern Mai Outbreak Ursache

nach Ansicht der Forscher, in einer neuen Version von Adwind, Kriminelle komplexe Methoden des Verschleierungs realisiert. Eine Analyse der Malware zeigte, dass es mehrere integrierte in verwendet JAR-Archive (Java-Archiv) bevor die endgültige Nutzlast Auspacken. Das Verschleierungs Niveau war so effektiv, dass nur 5 aus 56 Antivirus Lösungen, die auf Virustotal könnte Malware erkennen.

„Die Adwind RAT ist eine bekannte Malware-Familie, die in mehreren Kampagnen in den letzten Jahren aktiv genutzt wurde. Die Proben analysierten wir zeigten, dass die Virustotal Nachweisverhältnis für das JAR Top-Level war 5/56 während die der JAR endgültig entschlüsselt wurde 49/58. Diese Erkennungsquoten zeigen, dass Angreifer weitgehend erfolgreich bei der Entwicklung neuer, innovative Verschleierungstechniken zu entziehen detection“, - betonen Netskope Entwickler.

Nach der Analyse, die Angreifer sind in erster Linie daran interessiert, Dokumente, Dateien und andere lokal gespeicherten Daten. Sie sind auch daran interessiert, Informationen wie FTP-Passwörter und SSH-Schlüssel, was kann mehr Zugang zum Netz geben.

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"