Chinese Hacker Group использует Dropbox для вредоносного командного пункта

АНАЛИЗ НОВОСТЕЙ: текущая вредоносная угроза не предназначается для американских заинтересованностей сейчас, но несколько хакера имела возможность легко обратить внимание в том направлении, как это имеет в прошлом.Китайская несколько киберугрозы, известная как «admin@338», создала новый и возможно важный способ нападения на фирмы посредством ресурса, это, возможно, уже употребляется в организации.Совокупность доставки применяет прикладные программные интерфейсы (API) от Dropbox для сокрытия функций атакующих командования и управления в зашифрованном обслуживании, где это не может быть отыскано. Исследовательская несколько в FireEye первоначально отыскала вредоносное ПО.

Как имеет место со многими вредоносными примерами сейчас, это наступление начинается как фишинговая атака, посредством зараженного документа Word. В то время как получатель открывает документ, вредоносная нужная нагрузка открывает сессию с учетной записью атакующего на Dropbox.

Когда сессия запускается, вредоносное ПО отправляет файл в учетную запись Dropbox, содержащую основные данные о зараженном компьютере. управления и Система командования на учетной записи Dropbox тогда начинает руководить вредоносным программным обеспечением на зараженном компьютере, вероятно ища определенную данные, либо вероятно загружая дополнительное вредоносное ПО.Прямо сейчас эта определенная угроза нацелена на информагентства, расположенные в Гонконге в связи с беспокойством в той прошлой английской колонии.

Но несколько admin@338 в первую очередь нападает на Западные интересы и, возможно, начнет делать так опять. Это указывает, что принятие меры безопастности сейчас, перед любым нападением на американские цели, свидетельствует, что Вы готовься , когда это случится тут, потому, что это, конечно, будет в итоге.По словам Нарта Вильнева, эксперта по анализу разведывательных данных угрозы FireEye, и автора отчета, обрисовывающего нападения, угроза применяет применение, которое применяет в собственных заинтересованностях более ветхую уязвимость в Микрософт Word (CVE-2012-0158), что был исправлен примерно три года назад. Вредоносное ПО создает тёмный движение, что связывается с Dropbox через его API, настраивая надёжную сообщение, которая применяет Подключение HTTPS через порт 443.

Вы, быть может, увидели, что вредоносное ПО связывается совершенно верно таким же образом как каждая вторая сессия Dropbox и применяет совершенно верно тот же способ шифрования. Это – то, что делает его так тяжело для обнаружения.Тогда как в этом определенном нападении казалось бы, что кто-то в Китае ищет имена людей либо организаций сзади недавнего беспокойства в Гонконге (что есть, по какой причине это нападает на носители), в большинстве случаев та же несколько следует за деловыми кругами в Соединенных Штатах и в другом месте на Западе. В большинстве случаев, это трудится при помощи фишинга копья и применяет социальную разработку, чтобы убедить получателей Email с зараженными файлами открывать их.

светло самый действенный метод бороться с этим вредоносным программным обеспечением пребывает в том, чтобы учить сотрудников не открывать почтовые присоединения, но пока Вам не удается сделать это, принципиально важно обезопасисть конечные точки в Вашей сети. С текущим применением должны трудиться даже достаточно простые противовирусные пакеты.


TCNMS.RU