NEWS — September 12, 2018 at 6:37 am

Grupul LuckyMouse a revenit și folosește un certificat legitim pentru a semna malware-ul

by

LuckyMouseEchipa globală de cercetare și analiză Kaspersky Lab (GReAT) a descoperit câteva cazuri de infectare cu un troian necunoscut până acum, care are – cel mai probabil – legătură cu gruparea de limbă chineză LuckyMouse. Acest malware se remarcă prin faptul că driver-ul său este semnat cu un certificat digital legitim, emis de o companie care dezvoltă software din domeniul securității informațiilor.

Grupul LuckyMouse este cunoscut pentru atacurile cibernetice atent direcționate, asupra unor mari entități, din toată lumea. Activitatea grupului reprezintă un pericol pentru toate regiunile, inclusiv Asia de Sud-Est și Centrală, pentru că atacurile lor par să aibă o motivație politică. Judecând după profilul victimelor și vectorii de atac anteriori ai grupului, cercetătorii Kaspersky Lab cred că este posibil ca troianul pe care l-au detectat să fi fost folosit pentru spionaj cibernetic la nivel statal.

Troianul descoperit de experții Kaspersky Lab a infectat unul dintre computerele vizate prin intermediul unui driver construit de atacatori. Acest lucru le-a permis să execute toate task-urile obișnuite, cum ar fi executarea comenzilor, descărcarea și încărcarea fișierelor și să intercepteze traficul din rețea.

Driver-ul s-a dovedit a fi partea cea mai interesantă a acestei campanii. Pentru a fi credibil, grupul a furat, se pare, un certificat digital care aparține unui dezvoltator de soft din domeniul securității informațiilor și l-a folosit pentru a semna mostre de malware. Acest lucru a fost făcut în încercarea de a evita detecția de către soluțiile de securitate, având în vedere că o semnătură legitimă face malware-ul să pară software legal.

Un alt lucru demn de remarcat în legătură cu driver-ul este acela că, în ciuda capacității LuckyMouse de a-și crea propriul software malware, softul folosit în atac pare a fi o combinație de mostre de cod disponibile în resurse publice și malware personalizat. Folosirea de cod terț gata făcut, în loc de a scrie cod original, îi ajută pe dezvoltatori să economisească timp și face atribuirea mai dificilă.

Când apare o nouă campanie LuckyMouse, aproape de fiecare dată este în preajma unui eveniment politic important, iar momentul atacului precedă, de regulă, summit-uri ale liderilor mondiali”, spune Denis Legezo, security researcher la Kaspersky Lab. „Grupul nu își face prea multe probleme în legătură cu atribuirea, pentru că acum membrii lui folosesc eșantioane externe  de cod în programul lor și au timp să mai dezvolte o nouă variantă de malware, fără să li se dea de urmă.”

Kaspersky Lab a mai făcut public un raport despre grupul LuckyMouse, care a atacat un centru național de date pentru a organiza o campanie de tip waterhole .

Cum să vă protejați:

  • Nu acordați automat încredere codului care rulează pe sistemele proprii. Certificatele digitale nu garantează absența oricărui backdoor.
  • Folosiți o soluție de securitate eficientă, dotată cu tehnologii de detecție comportamentală, care permit depistarea inclusiv a amenințărilor necunoscute până la momentul respectiv.
  • Înscrieți-vă echipa de securitate la un serviciu bun de rapoarte cu informații despre amenințări, pentru a putea afla din timp despre cele mai noi tactici, tehnici și proceduri ale grupărilor de atacatori complecși.