Ερευνητές της Kaspersky ανακάλυψαν πρόσφατα ένα νέο backdoor, με το όνομα Loki, που έχει χρησιμοποιηθεί σε στοχευμένες επιθέσεις εναντίον τουλάχιστον 12 ρωσικών εταιρειών. Το κακόβουλο λογισμικό, το οποίο η Kaspersky εντοπίζει ως Backdoor.Win64.MLoki, είναι ένα private agent version του open-source post-exploitation framework Mythic.

Mythic framework

Το 2018, ο προγραμματιστής Cody Thomas δημιούργησε ένα open-source framework, με το όνομα Apfell, για post-exploitation παραβιασμένων συστημάτων macOS. Αργότερα, εντάχθηκαν και άλλοι προγραμματιστές στο project και το framework έγινε cross-platform και μετονομάστηκε σε Mythic. Το πλεονέκτημα του Mythic, σε σχέση με άλλα παρόμοια frameworks εκείνη την εποχή, ήταν ότι επέτρεπε τη χρήση agents σε οποιαδήποτε γλώσσα, για οποιαδήποτε πλατφόρμα, με την απαιτούμενη λειτουργικότητα.

Δείτε επίσης: Το PAM του Linux καταχράται για τη δημιουργία backdoors

Το Loki agent, που ανακάλυψαν οι ερευνητές, είναι μια Mythic-compatible version του agent για ένα άλλο framework, το Havoc.

Το Loki φθάνει στους υπολογιστές των θυμάτων μέσω phishing email με κακόβουλα συνημμένα, που ανοίγουν οι χρήστες. Μόλις εγκατασταθεί, το Loki επιτρέπει στον εισβολέα να κάνει διάφορα πράγματα στο παραβιασμένο σύστημα. Για παράδειγμα, μπορεί να διαχειριστεί Windows access tokens, να εισάγει κώδικα σε διεργασίες που εκτελούνται και να μεταφέρει αρχεία μεταξύ του μολυσμένου μηχανήματος και του διακομιστή εντολών και ελέγχου.

Ένας από τους ερευνητές της Kaspersky, που ασχολήθηκε με τη μελέτη του Loki backdoor, εξήγησε ότι οι κυβερνοεγκληματίες αξιοποιούν όλο και περισσότερο τα open-source post-exploitation frameworks για να διαδώσουν κακόβουλο λογισμικό.

Η περίπτωση του Loki είναι το πιο πρόσφατο παράδειγμα εισβολέων που δοκιμάζουν και εφαρμόζουν διάφορα frameworks για κακόβουλους σκοπούς και τα τροποποιούν ώστε να εμποδίζουν τον εντοπισμό και τη συσχέτισή τους με τις επιθέσεις“.

Δείτε επίσης: Οι hackers Earth Lusca χρησιμοποιούν το νέο KTLVdoor backdoor

Αξίζει να σημειωθεί ότι το ίδιο το Loki agent δεν υποστηρίζει traffic tunneling. Αυτό σημαίνει ότι οι επιτιθέμενοι χρησιμοποιούν δημόσια διαθέσιμα βοηθητικά προγράμματα, όπως το ngrok και το gTunnel, για να αποκτήσουν πρόσβαση σε ιδιωτικά τμήματα δικτύου. Η Kaspersky διαπίστωσε ότι, σε ορισμένες περιπτώσεις, το πρόγραμμα gTunnel τροποποιήθηκε, χρησιμοποιώντας goreflec, για την εκτέλεση του κακόβουλου κώδικά του στη μνήμη του στοχευόμενου υπολογιστή. Με αυτόν τον τρόπο, καθίσταται πιο δύσκολη η διαδικασία εντοπισμού.

Προς το παρόν, οι ερευνητές δεν έχουν επαρκή στοιχεία για να συνδέσουν το Loki backdoor με κάποια γνωστή hacking ομάδα. Ωστόσο, η Kaspersky πιστεύει ότι οι εισβολείς προσεγγίζουν προσεκτικά κάθε στόχο και πραγματοποιούν στοχευμένες επιθέσεις.

Μπορείτε να μάθετε περισσότερες λεπτομέρειες στην πλήρη αναφορά της Securelist.

Δείτε επίσης: Το Godzilla Fileless Backdoor εκμεταλλεύεται ευπάθεια του Atlassian Confluence

Τρόποι προστασίας

  • Μην εκθέτετε remote desktop υπηρεσίες, όπως το RDP, σε δημόσια δίκτυα και χρησιμοποιείτε πάντα ισχυρούς κωδικούς πρόσβασης.
  • Διατηρήστε τα συστήματά σας ενημερωμένα. Εφαρμόστε τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
  • Χρησιμοποιήστε λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
  • Βεβαιωθείτε ότι το VPN και τα λογισμικά ασφαλείας σας είναι πάντα ενημερωμένα.
  • Δώστε ιδιαίτερη προσοχή στο εξερχόμενο traffic για τον εντοπισμό ύποπτων συνδέσεων.
  • Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων τακτικά.
  • Ενημερωθείτε για όλες τις σύγχρονες απειλές στον κυβερνοχώρο.
  • Χρησιμοποιήστε υπηρεσίες Managed Detection and Response για να εντοπίσετε και να σταματήσετε μια επίθεση στα αρχικά στάδια.
  • Εκπαιδεύστε τους υπαλλήλους σας. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
  • Εφαρμόστε την αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.

Πηγή: www.kaspersky.com