Onderzoekers van Cylance geanalyseerd een nieuw implantaat ontwikkeld door de cybercriminaliteit groep Fancy Bear (ook bekend als APT28). De nieuwe backdoor die de Fancy Bear van start is gemaakt met het doel van het verslaan van de verdediging op basis van AI en machine learning.
EENolgens de onderzoekers, De criminelen verwijderd het grootste deel van de schadelijke functies van hun oorspronkelijke achterdeur, verbergen in een enorme hoeveelheid legitieme code.Het implantaat is een multi-threaded DLL-bibliotheek, die voorziet in de groepering volledige toegang tot het doelsysteem en beheer over het.
“Analyse onthult het implantaat is een multi-threaded DLL backdoor dat de dreiging acteur geeft (TA) volledige toegang tot, en controle, de doelhost. Wanneer het commando van C2, het implantaat kan uploaden of downloaden van bestanden, creëren processen, interactie met de gastheer via een commando shell en verbinding C2 hand van een vastgelegde slaap / activiteitenprogramma”, - verslag Cylance specialisten.
Deze benadering demonstreert de verfijnde werk van cybercriminelen. De auteurs van het implantaat te maskeren dat het gebruik van dergelijke bekende bibliotheken OpenSSL en de veelgebruikte POCO C ++ compiler, als gevolg waarvan 99% van meer dan 3 megabytes van de code zijn geclassificeerd als legitieme. Op deze manier, aanvallers proberen te krijgen rond evoluerende beveiligingssystemen, experts suggereren.
“Aangezien het bestand is opgemaakt als DLL, het de bedoeling zou zijn om het te injecteren in een langlopend proces dat toegang tot internet wordt verleend (zoals NetSvc dienstengroep) of een met lokale firewall permissies. We geloven niet dat dit DLL is bedoeld om te werken als een module voor een grotere functie”, - concluderen Cylance onderzoekers.
Vroeger, cybercriminelen gebruik gemaakt van verschillende methodes om zich te onttrekken beschermingssystemen computer, vaakst opgenomen ze versleutelen delen van een bestand om antivirus detectie te voorkomen. In aanvulling op, cybercriminelen gebruikt domein generatie algoritmen om vervolgens code downloaden uit moeilijk te bereiken plaatsen, omzeilen antivirusscans.
Het maskeren van malware als legitieme code is een oude cybercrimineel techniek. Valsspelen is een belangrijk onderdeel van hun toolkit, maar overtuigend machine learning algoritmes ontworpen om kwaadaardige code functies te detecteren is veel moeilijker.
Lees ook: Ondanks de eerbiedwaardige leeftijd van 9 jaar, China Chopper backdoor is nog steeds effectief
APT28 is operationeel sinds ten minste 2007 en nu is gespecialiseerd in het stelen van vertrouwelijke informatie met betrekking tot de overheid en militaire structuren. APT28 ontwikkelt systematisch haar malware en maakt gebruik van geavanceerde codering methoden die de analyse van de malware compliceren.
