Investigadores de Cylance analizaron un nuevo implante desarrollado por el grupo de la delincuencia informática Fantasía oso (también conocido como APT28). La nueva puerta trasera que se puso en marcha el oso Fantasía se crea con el objetivo de derrotar a la defensa basada en la IA y el aprendizaje automático.
UNAe acuerdo con los investigadores, los criminales eliminados la mayor parte de las funciones maliciosas de su puerta trasera originales, escondiéndolo en una gran cantidad de código legítimo.El implante es una multiproceso DLL-biblioteca, que proporciona la agrupación de acceso completo al sistema de destino y el control sobre él.
“El análisis revela que el implante es una puerta trasera multi-threaded DLL que da el actor amenaza (TA) acceso completo a, y el control de, el host de destino. Cuando comandado por C2, el implante puede cargar o descargar archivos, crear procesos, interactuar con el host a través de un shell de comandos y conectarse a C2 de acuerdo con un horario de sueño / actividad definida”, - especialistas informe Cylance.
Este enfoque demuestra la sofisticada obra de cibercriminales. Los autores del implante enmascaran el uso de tales bibliotecas conocidas como OpenSSL y el ampliamente utilizado POCO C ++ compilador, como resultado de lo cual 99% de mas de 3 megabytes de código se clasifican como legítimo. De este modo, atacantes tratan de conseguir alrededor de la evolución de los sistemas de seguridad, expertos sugieren.
“Dado que el archivo está empaquetado como un archivo DLL, la intención sería la de inyectarlo en un proceso de larga ejecución que se concede el acceso a Internet (tal como un grupo de servicio NETSVC) o uno que tiene permisos de servidor de seguridad local. No creemos que esta DLL está destinado a funcionar como un módulo para una herramienta más grande”, - la conclusión de los investigadores Cylance.
En el pasado, cibercriminales utilizan diversos métodos de los sistemas de protección de ordenador que evaden, más a menudo que incluyen la encriptación de partes de un archivo para evitar la detección antivirus. Adicionalmente, cibercriminales utilizan algoritmos de generación de dominio para descargar código posteriormente desde lugares de difícil alcance, sin pasar por los análisis antivirus.
Enmascarar el malware como el código legítimo es una vieja técnica cybercriminal. El engaño es una parte clave de su caja de herramientas, pero algoritmos de aprendizaje automático convincentes diseñados para detectar las funciones de código malicioso es mucho más difícil.
leer también: A pesar de la venerable edad de 9 años, China Chopper puerta trasera sigue siendo eficaz
APT28 ha estado operando desde al menos 2007 y ahora se especializa en el robo de información confidencial relacionada con las estructuras gubernamentales y militares. APT28 desarrolla sistemáticamente su malware y utiliza métodos de codificación sofisticados que complican el análisis de su software malicioso.
