Notícias de dispositivos móveis, gadgets, aplicativos Android

DarkUniverse – Um framework APT armado encontrado por meio de scripts interessantes usados ​​na NSA …

DarkUniverse - Uma estrutura APT armada encontrada por meio de scripts interessantes usados ​​no ataque de hackers da NSA

Pesquisadores descobriram a existência do novo APT Framework chamado “DarkUniverse” usando Tips, de um script usado na violação da NSA em 2017, no qual os corretores de sombra publicaram seu conhecido vazamento de ferramentas de hackers ‘Lost in Translation’.

A campanha de ciber-espionagem “Lost in Translation” vazou algumas das façanhas mais mortais, como DarkPulsar, Eternal Blue, que causam perda de bilhões de dólares, dando seu poder ao ransomware WannaCry e NotPetya.

O script descoberto pelos pesquisadores que descreveram como a 27ª função desse script que realmente verifica os rastreamentos para outras atividades do APT nos sistemas invadidos.

DarkUniverse - Um framework APT armado encontrado por meio de scripts interessantes usados ​​na NSA ... 1

Os pesquisadores acreditam que o APT Framework “DarkUniverse” estava ativo pelo menos 8 anos, de 2009 a 2017, e os vestígios indicam que ele também estava relacionado ao ItaDuke, um ator que usou explorações de PDF para eliminar malware anteriormente desconhecido.

A estrutura maliciosa visava vários países, incluindo Síria, Irã, Afeganistão, Tanzânia, Etiópia, Sudão, Rússia, Bielorrússia e Emirados Árabes Unidos. As vítimas incluíam organizações civis e militares.

Processo de infecção do DarkUniverse APT Framework

Uma análise mais aprofundada revela que a campanha está usando principalmente os emails de spear-phishing para entregar o malware por meio do anexo de documento armado do Microsoft Office.

Existem versões diferentes da amostra que foram usadas para esta campanha entre 2009 e 2017 e a versão mais recente do malware usada até 2017.

Servidor de comando e controle das campanhas do APT implantado no armazenamento em nuvem em mydrive.ch. “Para cada vítima, os operadores criaram uma nova conta e enviaram módulos de malware adicionais e um arquivo de configuração com comandos para executá-la.”

Ele executa as seguintes ações depois de se conectar ao servidor C2:

  • baixou o arquivo de comando para o diretório de trabalho;
  • arquivos enviados coletados e preparados por módulos maliciosos adicionais
  • módulos de malware adicionais baixados
Nós recomendamos:  Corrigido: o Android M Clock já adia o alarme por 10 minutos, em vez de 24 horas

Segundo a pesquisa da Kaspersky, o módulo de malware glue30.dll fornece a funcionalidade de registro de chaves. O módulo updater.mod usa a função Win API SetWindowsHookExW para instalar ganchos para o teclado e injetar glue30.dll em processos que obtêm entrada do teclado. Depois disso, o glue30.dll carrega e começa a interceptar a entrada no contexto de cada processo conectado.

Campanha do DarkUniverse coletando várias informações confidenciais, incluindo conversas por e-mail, arquivos de diretórios específicos, capturas de tela e informações do Windows envia um arquivo para o C2, credenciais do Outlook Express, Outlook, Internet Explorer, Windows Mail e muito mais.

“O DarkUniverse é um exemplo interessante de uma estrutura completa de espionagem cibernética usada por pelo menos oito anos. O malware contém todos os módulos necessários para coletar todos os tipos de informações sobre o usuário e o sistema infectado e parece estar totalmente desenvolvido do zero. ” Kaspersky disse.

Você pode nos seguir no Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética e hackers