Pesquisadores da Cylance analisado um novo implante desenvolvido pelo grupo cibercrime Urso Fantasia (também conhecido como APT28). O novo backdoor que lançou o Urso de fantasia é criado com o objetivo de defesa derrotar com base no AI e aprendizado de máquina.
UMAegundo os pesquisadores, o criminosos removido a maioria das funções maliciosas de sua backdoor originais, escondê-lo em uma enorme quantidade de código legítimo.O implante é um de multi-threaded DLL-library, que fornece o acesso completo agrupamento para o sistema de destino e controle sobre ele.
“A análise revela o implante é um backdoor multi-threaded DLL que dá ao ator ameaça (TA) acesso completo aos, e controlo de, o hospedeiro alvo. Quando comandado por C2, o implante pode fazer o upload ou download de arquivos, criar processos, interagir com o hospedeiro através de uma concha de comando e conectar-se C2 de acordo com uma agenda de sono definidos / actividade”, - especialistas relatório Cylance.
Esta abordagem demonstra o trabalho sofisticada de cibercriminosos. Os autores do implante mascará-lo usando tais bibliotecas bem conhecidas como OpenSSL e a amplamente utilizados POCO C ++ compilador, como um resultado dos quais 99% de mais de 3 megabytes de código são classificados como legítima. Nesse caminho, atacantes tentam contornar evoluindo sistemas de segurança, especialistas sugerem.
“Uma vez que o arquivo é empacotado como um DLL, a intenção seria a de injetá-lo em um processo de longa duração que é concedido acesso à Internet (tal como um grupo serviço NETSVC) ou aquele que tem permissões de firewall locais. Nós não acreditamos que esta DLL está previsto para funcionar como um módulo para uma ferramenta de maior”, - concluem os pesquisadores Cylance.
No passado, cibercriminosos utilizado vários métodos de sistemas de protecção computador evasão, na maioria das vezes eles incluíram criptografar partes de um arquivo para evitar a detecção antivírus. além do que, além do mais, cibercriminosos utilizados algoritmos de geração de domínio para transferir posteriormente código a partir de locais de difícil alcance, ignorando varreduras antivírus.
Mascarando o malware como código legítimo é uma técnica cibercriminoso velho. Batota é uma parte fundamental de sua caixa de ferramentas, mas algoritmos de aprendizado de máquina convincentes projetados para detectar funções de códigos maliciosos é muito mais difícil.
Leia também: Apesar da idade venerável 9 anos, China Chopper backdoor ainda é eficaz
APT28 está em funcionamento desde, pelo menos, 2007 e agora é especialista em roubar informações confidenciais relacionadas com as estruturas governamentais e militares. APT28 desenvolve sistematicamente a sua malware e usa métodos de codificação sofisticados que dificultam a análise de sua malwares.
