Forskere ved Cylance analysert et nytt implantat utviklet av datakriminalitet gruppen Jobb bjørn (også kjent som APT28). Den nye bakdør som lanserte Jobb bjørn er opprettet med mål om å bekjempe forsvar basert på AI og maskinlæring.
ENccording forskerne, De kriminelle fjernet de fleste av de skadelige funksjoner fra sin opprinnelige bakdør, skjule det i en stor mengde legitim kode.Implantatet er en multi-gjenge DLL-bibliotek, som gir den gruppering full tilgang til målsystemet og kontroll over det.
“Analyse viser implantatet er et multi-gjenge DLL bakdør som gir trusselen aktør (TA) full tilgang til, og kontroll av, målet vert. Når befalt av C2, implantatet kan laste opp eller ned filer, skape prosesser, kommuniserer med verten via en kommando skall og koble til C2 i henhold til en definert søvn / aktivitet Skjema”, - Rapporten Cylance spesialister.
Denne tilnærmingen viser sofistikert arbeidet med nettkriminelle. Forfatterne av implantatet maskere den ved hjelp av velkjente bibliotekene som OpenSSL og mye brukt POCO C ++ kompilatoren, som et resultat av hvilke 99% mer enn 3 megabyte kode er klassifisert som legitime. På denne måten, angripere prøver å komme seg rundt utvikling sikkerhetssystemer, eksperter foreslår.
“Siden filen er pakket som en DLL, intensjonen er å injisere det inn i en langvarig prosess som gis tilgang (slik som en NetSvc tjenestegruppe) eller en som har lokale brannmur tillatelser. Vi tror ikke dette DLL er ment å fungere som en modul for en større funksjonen”, - konkludere Cylance forskere.
I fortiden, webkriminelle brukt forskjellige metoder for å unndra datamaskin beskyttelsessystemer, oftest de inkluderte kryptere deler av en fil for å hindre at antivirus deteksjon. I tillegg, cyberkriminelle brukt domene generasjon algoritmer for å deretter laste ned koden fra vanskelig å nå steder, omgåelsen antivirus skanner.
Maske malware som legitime kode er en gammel cybercriminal teknikk. Fusk er en viktig del av deres verktøykasse, men overbevisende maskin læring algoritmer designet for å oppdage ondsinnet kode funksjoner er mye vanskeligere.
Les også: Til tross for den ærverdige alder 9 år, Kina Chopper bakdør er fortsatt effektiv
APT28 har vært i drift siden minst 2007 og nå har spesialisert seg på å stjele konfidensiell informasjon knyttet til offentlige og militære strukturer. APT28 utvikler systematisk sin skadelig og bruker sofistikerte kodemetoder som vanskeliggjør analyse av skadelig.
