77% руткитов используются для кибершпионажа

77% руткитов используются для кибершпионажа

77% руткитов используются для кибершпионажа

Positive Technologies решила изучить операции киберпреступников, использующих в качестве одного из инструментов руткиты. Напомним, что этот класс вредоносных программ встречается в сложных кибератаках хорошо подготовленных злоумышленников.

Как выяснили специалисты, 77% руткитов используются для шпионажа. Такой процент, конечно, весьма логичен, учитывая, что эти зловреды помогают атакующему максимально прочно укрепиться в системе и скрыть вредоносную активность.

Как отметили в Positive Technologies, руткиты часто входят в состав мощного и многофункционального вредоносного комплекса, основные задачи которого — перехват сетевого трафика, шпионаж за пользователями, кража данных для аутентификации и проведение DDoS-атак (кстати, сегодня стало известно о рекордной DDoS, которую отразила Microsoft).

Пожалуй, самой известной кибероперацией, в которой фигурировал руткит, стала атака Stuxnet. Эта кампания правительственного уровня пыталась приостановить развитие ядерной программы Ирана.

Исследователи из Positive Technologies изучили руткиты, участвовавшие в кибератаках с 2011 года. Благодаря этому удалось собрать интересную статистику: в 44% случаев злоумышленники задействовали руткиты для атак на государственные учреждения. В 38% эти вредоносы поражали исследовательские институты.

Помимо этого, в пятёрку самых атакуемых руткитами сфер вошли телеком (25%), промышленность (19%) и финансовые организации (19%). 56% атак с использованием руткитов поразили частных лиц, среди которых были, конечно же, дипломаты, чиновники и сотрудники целевых организаций.

На прошлой неделе мы писали про убойный коктейль из бэкдора с руткитом для Linux — FontOnLake, о котором предупреждали специалисты антивирусной компании ESET.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru