Wiadomości

Loading


18.06.2021 | Kaspersky odkrywa detale ataków ransomware na firmy w Korei Południowej prowadzone przez cybergang Andariel

Wcześniej tego roku badacze z firmy Kaspersky wykryli szkodliwy dokument Worda, w którym zastosowano nowatorski schemat infekcji wykorzystujący trzyetapową szkodliwą funkcję. Celem ataków były wybrane branże w Korei Południowej. Początkowe ustalenia wskazywały, że były one dziełem cybergangu Lazarus. Jednak dalsza analiza wykazała, na podstawie kilku wyraźnych wskazówek w kodzie oraz sposobie uruchamiania, że atak został w rzeczywistości przeprowadzony przez podgrupę Lazarusa - Andariel.

Badacze z firmy Kaspersky przypisali kampanię ugrupowaniu Andariel na podstawie sposobu implementowania przez cyberprzestępców poleceń systemu Windows oraz wykorzystywanej przez szkodliwe oprogramowanie procedury deszyfrowania - taktycznych odcisków cyfrowych pasujących do wcześniejszych metod stosowanych przez gang Andariel. Dwa elementy kodu pokrywają się ze szkodliwym oprogramowaniem z rodziny PEBBLEDASH, przypisywanym z niskim poziomem pewności ugrupowaniu Lazarus.

Andariel stanowi według Koreańskiego Instytutu Bezpieczeństwa Finansowego podgrupę ugrupowania Lazarus. Ugrupowanie to atakuje głównie instytucje południowokoreańskie i jest nastawione na zyski finansowe oraz cyberszpiegostwo. Od 2017 r. grupa Andariel ukierunkowała się na ataki dla zysku wymierzone w instytucje finansowe, jak również działania mające na celu łamanie zabezpieczeń bankomatów w Korei Południowej.

Chociaż celem ugrupowania Andariel są głównie instytucje w Korei Południowej, organizacje - niezależnie od swojego położenia geograficznego - powinny uważać na cyberataki i prewencyjnie zapobiegać potencjalnemu naruszeniu bezpieczeństwa w wykorzystaniem najsłabszego ogniwa - czynnika ludzkiego - stwierdził Seongsu Park, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Ransomware - wilk w skórze Worda

Badacze z firmy Kaspersky wykryli podejrzany dokument Worda w serwisie VirusTotal. Plik posiadał niewinnie brzmiącą nazwę w piśmie koreańskim, która oznaczała "Formularz zgłoszenia uczestnictwa". Chociaż został on wykryty w kwietniu 2021 r., ugrupowanie rozprzestrzeniało szkodliwą funkcję od połowy 2020 r.

Kliknięcie i otwarcie dokumentu aktywuje pierwszy spośród trzech etapów szkodliwej funkcji - uruchomienie szkodliwego makra, które jest wykonywane w tle, podczas gdy użytkownikowi wyświetlany jest dokument przynęta. Na pierwszym etapie wykonane makro uruchamia ukryty plik, który zawiera szkodliwą funkcję drugiego etapu. Komunikuje się ona ze zdalnym serwerem cyberprzestępczym, który przygotowuje szkodliwą funkcję trzeciego etapu.

Szkodliwe funkcje drugiego i trzeciego etapu podszywają się pod legalną przeglądarkę, wykorzystując ikonę internet Explorera oraz odpowiednie nazwy plików. Po zainicjowaniu trzeciego etapu następuje sprawdzenie, czy atakowany system nie jest środowiskiem specjalnie przygotowanym przez badaczy bezpieczeństwa celem polowania na zagrożenia.

Jeżeli teren jest czysty, szkodliwa funkcja trzeciego etapu wysyła wiadomość do tego samego serwera cyberprzestępczego. Po otrzymaniu "zielonego światła" następuje uruchomienie właściwego szkodliwego oprogramowania, które oferuje atakującym zdalny dostęp do zainfekowanej maszyny, łącznie z możliwością łączenia się z określonym adresem IP, tworzenia listy plików oraz manipulowania nimi, jak również wykonywania zrzutów ekranu. To wszystko zapewnia cybergangowi niezakłócony dostęp do zainfekowanego systemu.

Jedna z ofiar opisywanego ugrupowania w Korei Południowej doświadczyła ataku przy użyciu niestandardowego oprogramowania ransomware kontrolowanego przy użyciu parametrów wiersza polecenia. Jeśli spełnione zostaną określone kryteria, oprogramowanie ransomware stosuje algorytm AES-128 CBC w celu zaszyfrowania niemal wszystkich plików na atakowanej maszynie z wyjątkiem plików krytycznych dla systemu, aby ofiara ransomware nadal mogła korzystać z komputera i potencjalnie zapłacić okup. Stosowne żądanie jest zapisywane na pulpicie i w folderze autostartu, nakłaniając ofiarę do zapłacenia okupu w walucie Bitcoin.

Istnieją również dowody na to, że ugrupowanie Andariel wykorzystało inny wektor infekcji, w ramach którego szkodliwy moduł podszywał się pod plik PDF. Wprawdzie nie zdobyto oryginalnego pliku, który mógłby zostać poddany analizie, jednak jego obecność wywnioskowano na podstawie artefaktów uzyskanych z narzędzia exPDFReader stworzonego przez południowokoreańską firmę. Ze względu na brak dowodów nie ma pewności co do ścieżki infekcji tego wariantu. Przypuszczalnie wykorzystał on lukę w oprogramowaniu lub podszywał się pod legalny plik, nakłaniając użytkowników do otwarcia go.

źródło: Kaspersky

Kliknij aby powiększyć



17.06.2021 | Usługa potwierdzenia tożsamości mojeID dla klientów Heyah 01 poszerza się o kolejne banki

Od zeszłego roku klienci oferty subskrypcyjnej Heyah 01 jako pierwsi na rynku telekomunikacyjnym mogli zakupić ją, weryfikując swoją tożsamość w bezpieczny sposób online poprzez bank, bez konieczności wychodzenia z domu.

Teraz usługa mojeID od Krajowej Izby Rozliczeniowej poszerza listę dostępnych podmiotów umożliwiających zdalne potwierdzenie danych o Bank BNP Paribas i Bank Ochrony Środowiska, dzięki czemu skorzysta z niej jeszcze więcej osób.

Cyfrowa identyfikacja pomaga m.in. w przyspieszaniu i usprawnianiu procesów związanych z obsługą klienta i zarządzaniem dokumentami.

Dla użytkowników Heyah 01 przekłada się to na komfortowe korzystanie z usługi subskrypcyjnej od samego jej początku, czyli zamówienia oferty.

+ więcej...
17.06.2021 | W te wakacje śmigamy w najszybszej sieci! 100 GB dla klientów T-Mobile na kartę

Kalendarzowe lato coraz bliżej, możemy więc śmiało odliczać dni do pełni sezonu wakacyjnego.

Aby cieszyć się nim do woli, bez obawy o zużyte gigabajty, przygotowaliśmy dla naszych klientów taryfy GO! na kartę wyjątkową promocję – aż 100 GB w prezencie do wykorzystania przez 60 dni.

Warto więc na wakacje doładować swój numer i śmigać w najszybszej sieci!

Ulubiony serial w zimny deszczowy dzień nad morzem? Poszukiwanie najlepszej restauracji z kwaśnicą na Krupówkach? A może po prostu spotkanie grillowe na działce z dobrą muzyką w tle? We wszystkich tych sytuacjach zapas internetu bywa nieoceniony.

+ więcej...
17.06.2021 | Kaspersky odkrywa 6-letnią kampanię cyberszpiegowską prowadzoną na Bliskim Wschodzie

Badacze z firmy Kaspersky odkryli długotrwałą kampanię cyberszpiegowską wymierzoną w perskojęzyczne osoby w Iraku.

Stojące za nią ugrupowanie - określone jako Ferocious Kitten - działa od co najmniej 2015 r. i rozprzestrzenia niestandardowe szkodliwe oprogramowanie o nazwie MarkiRAT, które kradnie dane i potrafi wykonywać polecenia na maszynie ofiary.

Szkodnik posiada również wersje, które potrafią przejmować kontrolę nad przeglądarką Chrome oraz aplikacją Telegram użytkownika zainfekowanego urządzenia.

Ugrupowanie Ferocious Kitten, aktywne co najmniej od 2015 r., atakuje swoje ofiary przy użyciu dokumentów-wabików zawierających szkodliwe makra.

+ więcej...

Najtańszy internet kablowy

Sieć lokalna - łącze 7 Mb/s:
Telewizja kablowa: - łącze 20 Mb/s
xDSL - łącze 80 Mb/s :

Najtańszy internet bezprzewodowy

WIMAX - łącze 2 Mb/s:
Wi-Fi - łącze 16 Mb/s:
GSM - łącze 500 Mb/s:

Zadzwoń, znajdziemy najlepszą ofertę dla Ciebie!
Infolinia: 22 395 12 12

Zamknij