SixLittleMonkeys zase útočí

SixLittleMonkeys

Odborníci zjistili, že SixLittleMonkeys, hackerská APT skupina známá také jako Microcin provádějící kyberšpionáž převážně proti vládním a diplomatickým subjektům, začala využívat trojského koně, kterého stahuje přímo do systémové paměti napadeného zařízení. Přišli na to, že v rámci finální fáze útoku, kdy dochází ke stažení škodlivého obsahu a provádění příkazů na napadeném zařízení, začali hackeři využívat nový druh kódování. Pomocí architektury podobné API (Application Programming Interface) zjednodušují aktualizace malwaru.

Letos v únoru, kdy byla odhalena aktivita skupiny SixLittleMonkeys namířená proti diplomatickému subjektu, využívali hackeři stejnou sadu nástrojů i styl útoku – steganografii a library search order hijacking. V rámci finální fáze útoku ale došlo k jedné zásadní změně, kdy použili techniky kódování podobné podnikovému stylu.

Rozhraní API umožňuje vývojářům rychleji a snadněji vytvářet aplikace díky základním stavebním blokům budoucích programů, takže kód nemusí při každém novém projektu psát od nuly. V případě malwaru dodávají API tomuto softwaru na efektivnosti – aktualizace nebo změny mohou být prováděny mnohem rychleji.

Exportované API v rámci finální fáze útoku SixLittleMonkeys využívá dva callback parametry (funkce, které mají být iniciovány později): ukazatele (pointer) na šifrátora (encryptor) a logger funkce. První z nich má na starosti šifrování/dešifrování komunikačních a konfiguračních dat C2 řídicího serveru. Druhý ukládá historii operací malwaru do souboru. Díky tomu je pro autory mnohem snazší změnit šifrovací algoritmus nebo přesměrovat logger jiným komunikačním kanálem.

Další novinkou v rámci škodlivých aktivit Microcinu je používání asynchronní práce se sokety. Sokety jsou v tomto případě entity pro síťovou komunikaci s řídicím serverem, Protože jsou asynchronní, jedna operace neblokuje druhou, což znamená, že jsou provedeny všechny příkazy.

Zdroj: Kaspersky

Napsat komentář