G.T. ZDNET Kaspersky Lab a declarat astăzi că a detectat computerele infectate cu DarkPulsar, un implant malware care a fost, probabil, dezvoltat de către Agenția Națională de Securitate din SUA (NSA). "Toate victimele au fost localizate în Rusia, Iran și Egipt, iar de obicei Windows 2003/2008 Server a fost infectat", a spus compania. "Obiectivele au fost legate de energia nucleară, telecomunicații, IT, aerospațială și cercetare și dezvoltare". Cercetătorii de la Kaspersky au putut analiza programul DarkPulsar deoarece acesta a fost unul dintre numeroasele instrumente de hacking care au fost lansate online în primăvara anului 2017. Instrumentele de hacking au fost scoase de un grup de hackeri cunoscuți sub numele de Shadow Brokers, care au susținut că i-au furat de la Equation Group, nume de cod dat de industria de securitate cibernetică unui grup universal crezut că este NSA. DarkPulsar a acționat neobservat mai mult de 18 luni, deoarece depozitul din 2017 include și EternalBlue, exploatarea care a alimentat trei focare de răscumpărare de anul trecut - WannaCry, NotPetya și Bad Rabbit. Aproape toți ochii comunității infosec s-au concentrat pe EternalBlue anul trecut și pentru un motiv bun, deoarece exploitul a devenit acum malware . Dar, în ultimele luni, cercetătorii de la Kaspersky au început să sape mai adânc în celelalte instrumente de hacking care sau scurs de la Shadow Brokers anul trecut. Ei au analizat FuzzBunch, un cadru de exploatare pe care Equation Group îl folosea pentru a implementa exploatări și programe malware asupra sistemelor victimelor folosind o interfață CLI similară cu cadrul de testare Metasploit. Ei au analizat, de asemenea, DanderSpritz, un plugin FuzzBunch care funcționează ca o aplicație GUI pentru controlul victimelor infectate. DarkPulsar este un implant "FuzzBunch", un termen tehnic care înseamnă "malware", adesea folosit împreună cu DanderSpritz. Dar, într-un raport publicat astăzi, cercetătorii de la Kaspersky au declarat că DarkPulsar inclus în dezvăluirile Shadow Brokers nu este în totalitate a lui DarkPulsar. "Am analizat acest instrument și am înțeles că nu este un backdoor în sine, ci doar partea administrativă", a spus Kaspersky. O descoperire majoră a apărut atunci când și-au dat seama că unele constante din codul de interfață administrativă DarkPulsar au fost cel mai probabil folosite de malware-ul real. Cercetătorii au creat reguli speciale pentru a detecta aceste constante în fișierele scanate de antivirusul Kaspersky. Astfel au detectat aproximativ 50 de computere care au fost încă infectate cu malware-ul actual DarkPulsar.
Pe baza funcțiilor pe care le-au găsit în interfața de administrare DarkPulsar, cercetătorii spun că malware-ul este utilizat în principal ca o backdoor pentru calculatoarele infectate. Principalele caracteristici ale malware-ului sunt capacitatea sa de a rula cod arbitrar printr-o functie numita "RawShellcode" si capacitatea de a incarca alte sarcini utile DanderSpritz (malware) prin intermediul functiei "EDFStageUpload", extinzandu-si foarte mult capacitatea si capacitatile operatorului pe un sistem infectat. Cercetătorii de la Kaspersky cred, de asemenea, că numărul de computere care au fost infectate cu DarkPulsar este cel mai probabil mai mare decât cele 50 de detectări pe care le-au găsit. Malware-ul a inclus, de asemenea, o funcție de auto-ștergere, pe care operatorii Equation Group le-au folosit probabil pentru a-și acoperi pistele după ce Shadow Brokers și-a scos instrumentele online. "Astfel, cele 50 de victime sunt foarte probabil doar cele pe care atacatorii le-au uitat pur și simplu", au spus cercetătorii. Cât despre cine este în spatele acestor hack-uri, Kaspersky nu a spus. Nu este clar dacă Shadow Brokers a reușit să-și pună mâna pe întregul program DarkPulsar, dar apoi a optat să nu includă actualul backdoor în pachetul de instrumente scurgeri. Aceste 50 de infecții ar putea fi cu ușurință operațiunile de operațiuni de spionaj cibernetice de la Equation Group sau de activitatea propriu-zisă a companiilor Shadow Brokers. În această situație este disponibilă o defalcare tehnică completă a programului malware DarkPulsar mai multe aici: Kaspersky
0 Comments
Puteți sa faceți un gest minim... cu un simplu click în dreptul distribuției romanești Academix GNU/Linux ...
1- deschideți în Firefox sau Tor link-ul acesta de la Distrowatch 2- click pe Recommend 3- veți vedea apoi rezultatul votului vostru ... ceea ce înseamnă ca ați contribuit la promovarea unui produs gratuit care în viitor poate ca va instrui copii și nepoții voștri. Dezvoltatorii acestui proiect o fac cu banii din buzunarul propriu și pe timpul liber a lor... fără nici un ajutor din partea ministerului educației... chiar dacă este apreciat de străini Link-ul de recomandare nu funcționează pe android și în Chrome, acest site va lasă sa votați o singura data pe zi...asa ca dacă doriți...puteți da mai departe acest link Mulțumesc pentru susținerea voastră. Daca nu vreau sa încarc sistemul(Academix) cu tot felul de programe de reparare-recuperare date pot folosi un Parted Magic care ocupa sub 1Gb spatiu pe HDD O modalitate pe care tocmai am testat-o atât la munca cât și acasă de a boot-a un Parted Magic iso direct de pe partiția de root a lui Academix 1 1 - am instalat grub-customizer pentru a manipula cu ușurință grub-ul (cu previzualizare) link descărcare: https://launchpad.net/~danielrichter2007/+archive/ubuntu/grub-customizer/+packages?field.name_filter=&field.status_filter=published&field.series_filter=xenial 2 - am copiat parted magic direct pe partitia de root si l-am redenumit ca pmagic.iso 3 - dupa ce am deschis Grub Customizer m-am dus la edit si click pe new 4 - adaug un nume in cazul nostru i-am spus pm si aleg in a doua optiune Linux ISO la boot sequence v-a afisa ceva de genul set root='(hd0,2)' search --no-floppy --fs-uuid --set=root d8a0c098-e178-4c07-ba44-91b1cbd8d0c1 loopback loop "" linux (loop)/casper/vmlinuz boot=casper iso-scan/filename="" quiet splash locale=en_US bootkbd=us console-setup/layoutcode=us noeject -- initrd (loop)/casper/initrd.lz inlocuiesc toate liniile de la loopback cu loopback loop /pmagic.iso linux (loop)/pmagic/bzImage64 edd=off load_ramdisk=1 prompt_ramdisk=0 rw livemedia noeject loglevel=9 max_loop=256 vmalloc=384MiB iso_filename=/pmagic.iso panic=4 initrd (loop)/pmagic/initrd.img (loop)/pmagic/fu.img (loop)/pmagic/m64.img deci in final arata set root='(hd0,2)' search --no-floppy --fs-uuid --set=root d8a0c098-e178-4c07-ba44-91b1cbd8d0c1 loopback loop /pmagic.iso linux (loop)/pmagic/bzImage64 edd=off load_ramdisk=1 prompt_ramdisk=0 rw livemedia noeject loglevel=9 max_loop=256 vmalloc=384MiB iso_filename=/pmagic.iso panic=4 initrd (loop)/pmagic/initrd.img (loop)/pmagic/fu.img (loop)/pmagic/m64.img este adevarat... cu setările de mai sus la alegerea lui pm o sa ruleze în ram pe x64
|
Archives
March 2024
Categories
All
|