Microsoft: προειδοποίηση για πειραγμένα updaters λογισμικού

Η προειδοποίησε τις εταιρείες λογισμικού για να προστατεύσουν καλύτερα τις διαδικασίες του τους μετά την ανακάλυψη μιας πολύ “καλά προγραμματισμένης και ενορχηστρωμένης” επίθεσης που κατέστρεψε την ενημερώσεων ενός λογισμικού που δεν κατονομάζει.

Όπως εξηγεί η αντιμετώπισης απειλών της Microsoft, οι επιτιθέμενοι χρησιμοποίησαν τον μηχανισμό ενημέρωσης μιας δημοφιλής ς για να αποκτήσουν πρόσβαση σε αρκετούς τεχνολογικούς και χρηματοοικονομικούς οργανισμούς υψηλού προφίλ. Σύμφωνα με την Microsoft και η ίδια η εταιρεία ανάπτυξης του λογισμικού ήταν υπό επίθεση.Microsoft

Η εκστρατεία κατασκοπείας, που ονομάστηκε WilySupply από τη Microsoft, είναι πιθανό να έχει οικονομικά κίνητρα και στοχεύει τα updaters για να προσεγγίσει κυρίως εταιρείες χρηματοδότησης και πληρωμών.

Σε αυτή την περίπτωση, χρησιμοποίησαν το updater για να εγκαταστήσουν ένα “μη υπογεγραμμένο εκτελέσιμο αρχείο χαμηλού επιπολασμού” για να σαρώνουν το δίκτυο του θύματος εγκαθιστώντας απομακρυσμένη πρόσβαση.

Μια τέτοια επίθεση στη διαδικασία ενημέρωσης ενός αξιόπιστου λογισμικού είναι μια έξυπνη πλευρική θύρα για τους εισβολείς, καθώς οι χρήστες χρησιμοποιούν τον μηχανισμό για να λαμβάνουν έγκυρες ενημερώσεις.

  Η Ημέρα Ασφαλούς Διαδικτύου από το Saferinternet.gr

Η Microsoft σημειώνει ότι η ίδια τεχνική έχει χρησιμοποιηθεί σε διάφορες επιθέσεις, όπως τις παραβιάσεις που έγιναν σε εταιρείες της Νότιας Κορέας το 2013 μέσω μιας κακόβουλης έκδοσης ενός εγκαταστάτη της SimDisk.

Οι επιτιθέμενοι φέρεται να χρησιμοποιούν δωρεάν εργαλεία ανοιχτού κώδικα, όπως το Evil Grade, το οποίο βοηθά στο exploiting ελαττωματικών εφαρμογών ενημέρωσης για την εισαγωγή ψεύτικων ενημερώσεων. Όπως σημειώνει η Microsoft, το WilySupply έκανε ακριβώς αυτό, προστατεύοντας την ταυτότητα των επιτιθέμενων.

Το άλλο εργαλείο που χρησιμοποίησαν οι επιτιθέμενοι ήταν το Meterpreter, το συστατικό της μνήμης του Metaplsoit framework.

“Το εκτελέσιμο αρχείο κατέληξε να είναι ένα κακόβουλο δυαδικό αρχείο που τρέχει PowerShell scripts με το Meterpreter reverse shell, το οποίο χορήγησε σιωπηλά απομακρυσμένο έλεγχο στον εισβολέα. Το δυαδικό (binary) εντοπίστηκε από τη Microsoft σαν “Rivit.”

“Χρησιμοποιώντας τις προβολές χρονικής γραμμής και των δέντρων επεξεργασίας στην κονσόλα ATP του Defender, κατορθώσαμε να εντοπίσουμε τη διαδικασία που ήταν υπεύθυνη για τις κακόβουλες δραστηριότητες και να επισημάνουμε με ακρίβεια την εμφάνισή τους. Εντοπίσαμε αυτές τις δραστηριότητες σε έναν updater ενός λογισμικού επεξεργασίας”, αναφέρει η Microsoft.

“Η εξέταση του φακέλου Temp στο μολυσμένο μηχάνημα, μας έδειξε έναν νόμιμο updater τρίτων να τρέχει ως υπηρεσία.”

Το updater κατέβασε ένα ανυπόγραφο εκτελέσιμο αρχείο χαμηλού επιπολασμού (low-prevalence) πριν παρατηρηθεί η κακόβουλη δραστηριότητα.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


9  +  1  =