Κυβερνοασφάλεια: το Emotet επιστρέφει, το Lokibot επιμένει


Cyber Security




TECH




Techbiz


Κυβερνοασφάλεια: το Emotet επιστρέφει, το Lokibot επιμένει



By

Marizas Dimitris


Η μοναδική κρυπτογράφηση του


DarkGate


, η δυναμική επανεμφάνιση του


Emotet


και τα

exploits

του


LokiBot


καταδεικνύουν το συνεχώς εξελισσόμενο τοπίο της

ς.


Τον Ιούνιο του 2023, οι

ερευνητές της



Kaspersky


ανακάλυψαν ένα νέο πρόγραμμα

loader

με την ονομασία

DarkGate

, το οποίο διαθέτει μια σειρά από χαρακτηριστικά που ξεπερνούν τις τυπικές λειτουργίες των

downloader

. Ορισμένες από τις αξιοσημείωτες λειτουργίες του περιλαμβάνουν κρυφό

VNC

, παράκαμψη του


Defender

, υποκλοπή του ιστορικού των προγραμμάτων περιήγησης, αντίστροφο


proxy


, πρόσβαση σε αρχεία αλλά και κλοπή

token

από το

Discord

. Η λειτουργία του

DarkGate

περιλαμβάνει μια διαδικασία που αποτελείται από τέσσερα ειδικά διαμορφωμένα  μέρη, το οποία εξυπηρετούν την εκτέλεση του προγράμματος

DarkGate

.


T


ο συγκεκριμένο πρόγραμμα αποτελεί μοναδικό τρόπο κρυπτογράφησης με τη χρήση εξατομικευμένων κλειδιών, ενώ παράλληλα χρησιμοποιεί μια προσαρμοσμένη έκδοση της κωδικοποίησης

Base

64 που βασίζεται σε ένα ειδικό σύνολο χαρακτήρων.


Επιπλέον, η έρευνα της

Kaspersky

αναλύει μια από τις λειτουργίες του

Emotet

, ενός διαβόητου

botnet

που επανεμφανίστηκε υστέρα από την αντιμετώπισή του το 2021. Στην τωρινή έκδοση του

Emotet

, όταν οι χρήστες ανοίγουν κάποιο μολυσμένο αρχείο

OneNote

, τότε άθελά τους  ενεργοποιούν το  κεκαλυμμένο

VBScript

. Στη συνέχεια, το

VBScript

προσπαθεί να κατεβάσει επιβλαβές υλικό από διάφορους ισότοπους με σκοπό να επιτύχει την πλήρη πρόσβαση στο σύστημα. Αφού επιτύχει τον σκοπό του, το

Emotet

εγκαθιστά ένα

DLL

στον προσωρινό κατάλογο και στη συνέχεια το εκτελεί. Αυτό το

DLL

περιέχει κρυφές οδηγίες ή κάποιο

shellcode

μαζί με κρυπτογραφημένες λειτουργίες εισαγωγής. Αποκρυπτογραφώντας ένα συγκεκριμένο αρχείο, το

Emotet

αποκτά τον έλεγχο του συστήματος, επιτυγχάνοντας να θέσει σε λειτουργία το κακόβουλο

.


Τέλος, η

Kaspersky

εντόπισε μια


phishing


εκστρατεία που στόχευε εταιρείες φορτηγών πλοίων μέσω του

LokiBot

. Πρόκειται για ένα

infostealer

που εντοπίστηκε για πρώτη φορά το 2016 και έχει σχεδιαστεί για να υποκλέπτει δεδομένα από διάφορες εφαρμογές, όπως για παράδειγμα κάποιο πρόγραμμα περιήγησης και

FTP clients

. Αυτά τα

emails

έφεραν ένα συνημμένο έγγραφο

Excel

, το οποίο προέτρεπε τους χρήστες να ενεργοποιήσουν μακροεντολές στο


Excel


. Οι επιτιθέμενοι εκμεταλλεύτηκαν μια γνωστή ευπάθεια (


CVE

-2017-0199



) στο

Microsoft Office

, η οποία οδηγεί στη λήψη ενός εγγράφου

RTF

. Έπειτα, αυτό το έγγραφο

RTF

εκμεταλλεύεται μια ακόμα ευπάθεια (


CVE

-2017-11882



) που οδηγεί στην εκτέλεση του


malware


,

LokiBot

.


«Η επανεμφάνιση του

Emotet

, η συνεχής παρουσία του

Lokibot

, καθώς και η εμφάνιση του

DarkGate

αποτελούν υπενθύμιση για τις εξελισσόμενες απειλές στον κυβερνοχώρο. Αυτοί οι τύποι κακόβουλου λογισμικού προσαρμόζονται και μπορούν να υιοθετήσουν νέες μεθόδους. Συνεπώς, είναι ζωτικής σημασίας για τους ιδιώτες και τις επιχειρήσεις να παραμείνουν σε επαγρύπνηση,

σε ισχυρές λύσεις κυβερνοασφάλειας. Η διαρκής έρευνα της Κ


aspersky


και ο εντοπισμός των DarkGate, Emotet και Lokibot υπογραμμίζουν τη σημασία των προληπτικών μέτρων για την προστασία από τους εξελισσόμενους κινδύνους στον κυβερνοχώρο»,


σχολιάζει ο

Jornt van der Wiel

, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της

Kaspersky

.


Για να προστατεύσετε τον εαυτό σας και την επιχείρησή σας από επιθέσεις

ransomware

, η

Kaspersky

προτείνει:


  • Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε, ώστε να αποτρέψετε τους επιτιθέμενους από το να εκμεταλλευτούν τα τρωτά σημεία και να διεισδύσουν στο δίκτυό σας.

  • Επικεντρώστε την αμυντική σας στρατηγική στον εντοπισμό τυχόν υπόπτων κινήσεων και διαρροών δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη κυκλοφορία για να εντοπίζετε τις συνδέσεις των κακόβουλων χρηστών στο δίκτυό σας. Δημιουργήστε αντίγραφα ασφαλείας εκτός σύνδεσης, τα οποία δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά όταν χρειάζεται ή σε περίπτωση έκτακτης ανάγκης.

  • Ενεργοποιήστε την προστασία από

    ransomware

    σε όλα τα τερματικά σημεία. Υπάρχει το δωρεάν



    εργαλείο

    Kaspersky Anti



    Ransomware Tool for Business


    , που προστατεύει τους υπολογιστές και τους





    από

    ransomware

    και άλλους τύπους κακόβουλου λογισμικού. Παράλληλα, αποτρέπει τα

    exploits

    , καθώς είναι συμβατό με τις ήδη εγκατεστημένες λύσεις ασφαλείας.

  • Εγκαταστήστε λύσεις anti-APT και EDR, οι οποίες παρέχουν δυνατότητες για προχωρημένη ανίχνευση απειλών, διερεύνηση και έγκαιρη αντιμετώπιση περιστατικών. Θα δώσετε τη δυνατότητα στην


    SOC


    ομάδα σας να έχει πρόσβαση στις πιο πρόσφατες πληροφορίες σχετικά με το


    Threat Intelligence


    (


    T


    Ι) αλλά και να αποκτήσει την απαιτούμενη κατάρτιση μέσω εξειδικευμένων σεμιναρίων.

  • Παρέχετε στην ομάδα σας SOC πρόσβαση στις πιο πρόσφατες πληροφορίες σχετικά με το Threat Intelligence (TΙ).


Αρχική Σελίδα



Παρόμοια άρθρα



Το AV-Comparatives, το AV-TEST δείχνουν πώς τα…




Τα καλύτερα παιχνίδια για πολλούς παίκτες της EA…




Το πρόγραμμα περιήγησής σας διαθέτει μια κρυφή…




Μια γρήγορη αναδρομή στη σύντομη περίοδο της…






APT


DarkGate


discord


Emotet


exploits


Kaspersky


Malware


microsoft






Marizas Dimitris



81452 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.