Forscher an Cylance analysiert, um einen neuen von der Cyber-Kriminalität Gruppe entwickelte Implantat Fancy Bär (auch als APT28 bekannt). Die neue Backdoor, die den Fancy Bär ins Leben gerufen mit dem Ziel, das Besiegen Verteidigung erstellt auf Basis von AI und maschinellem Lernen.
EINN ach der Forscher, Das Kriminelle entfernt die meisten der bösartigen Funktionen von ihrer ursprünglichen Backdoor, es in einer riesigen Menge von legitimem Code versteckt.Das Implantat ist ein Multi-Threaded-DLL-Bibliothek, das stellt die Gruppierung vollen Zugriff auf das Zielsystem und die Steuerung über.
„Die Analyse ergibt das Implantat ein Multi-Thread-DLL-Backdoor, die die Bedrohung Schauspieler gibt (TA) voller Zugang zu, und Steuerung, der Zielhost. Wenn von C2 kommandierte, das Implantat kann Dateien hoch- oder herunterladen, schaffen Prozesse, Interaktion mit dem Host über eine Befehls-Shell und eine Verbindung zu C2 nach einem definierten Schlaf / Aktivitäts schedule“, - Bericht Cylance Spezialisten.
Dieser Ansatz zeigt die anspruchsvolle Arbeit von Cyber-Kriminellen. Die Autoren des Implantats maskieren es so bekannten Bibliotheken als OpenSSL und die weit verbreitete POCO C ++ Compiler, als Ergebnis davon 99% von mehr als 3 Megabyte Code als legitim eingestuft. Auf diese Weise, Angreifer versuchen, Sicherheitssysteme entwickeln zu umgehen, Experten schlagen vor,.
„Da die Datei wird als DLL verpackt, die Absicht wäre es in einen lang andauernden Prozess zu injizieren, der Internetzugang gewährt wird (wie beispielsweise eine Dienstgruppe NETSVC) oder mit einer lokalen Firewall-Berechtigungen. Wir glauben nicht, diese DLL als Modul betreiben soll für ein größeres Werkzeug“, - schließen Cylance Forscher.
In der Vergangenheit, Cyber-Kriminelle verwendet verschiedene Methoden der Umgehung Computer Schutzsysteme, am häufigsten enthalten sie Teile einer Datei zu verschlüsseln Antivirus-Erkennung zu verhindern. In Ergänzung, Cyber-Kriminelle verwendeten Algorithmen Domain Generation anschließend von schwer zu erreichenden Stellen Code zum Download, Umgehung Antivirus-Scans.
Maskierung von Malware als legitime Code ist eine alte Technik cyberkriminellen. Cheating ist ein wichtiger Teil ihres Toolkit, aber überzeugende Algorithmen für maschinelles Lernen entwickelt bösartigen Code Funktionen zu erfassen, ist viel schwieriger.
lesen Sie auch: Trotz des ehrwürdigen Alter von 9 Jahre, China Chopper Backdoor ist immer noch wirksam
APT28 seit mindestens Betrieb 2007 und jetzt ist spezialisiert auf vertrauliche Informationen zu stehlen im Zusammenhang mit staatlichen und militärischen Strukturen. APT28 entwickelt systematisch seine Malware und arbeitet mit einer ausgeklügelten Codierverfahren, die die Analyse der Malware erschweren.
