Microsoft: προειδοποίηση για πειραγμένα updaters λογισμικού

Η Microsoft προειδοποίησε τις εταιρείες λογισμικού για να προστατεύσουν καλύτερα τις διαδικασίες του updater τους μετά την μιας πολύ “καλά προγραμματισμένης και ενορχηστρωμένης” επίθεσης που κατέστρεψε την υπηρεσία ενημερώσεων ενός λογισμικού που δεν κατονομάζει.

Όπως εξηγεί η ομάδα αντιμετώπισης απειλών της Microsoft, οι επιτιθέμενοι χρησιμοποίησαν τον μηχανισμό ενημέρωσης μιας δημοφιλής εφαρμογής για να αποκτήσουν πρόσβαση σε αρκετούς τεχνολογικούς και χρηματοοικονομικούς οργανισμούς υψηλού προφίλ. Σύμφωνα με την Microsoft και η ίδια η εταιρεία ανάπτυξης του λογισμικού ήταν υπό επίθεση.Microsoft

Η εκστρατεία κατασκοπείας, που ονομάστηκε WilySupply από τη Microsoft, είναι πιθανό να έχει οικονομικά κίνητρα και στοχεύει τα updaters για να προσεγγίσει κυρίως εταιρείες χρηματοδότησης και πληρωμών.

Σε αυτή την περίπτωση, χρησιμοποίησαν το updater για να εγκαταστήσουν ένα “μη υπογεγραμμένο εκτελέσιμο χαμηλού επιπολασμού” για να σαρώνουν το δίκτυο του θύματος εγκαθιστώντας απομακρυσμένη πρόσβαση.

Μια τέτοια επίθεση στη διαδικασία ενημέρωσης ενός αξιόπιστου λογισμικού είναι μια έξυπνη πλευρική θύρα για τους εισβολείς, καθώς οι χρήστες χρησιμοποιούν τον μηχανισμό για να λαμβάνουν έγκυρες .

Η Microsoft σημειώνει ότι η ίδια τεχνική έχει χρησιμοποιηθεί σε διάφορες επιθέσεις, όπως τις παραβιάσεις που έγιναν σε εταιρείες της Νότιας Κορέας το 2013 μέσω μιας κακόβουλης έκδοσης ενός εγκαταστάτη της SimDisk.

Οι επιτιθέμενοι φέρεται να χρησιμοποιούν δωρεάν εργαλεία ανοιχτού κώδικα, όπως το Evil Grade, το οποίο βοηθά στο exploiting ελαττωματικών εφαρμογών ενημέρωσης για την εισ ψεύτικων ενημερώσεων. Όπως σημειώνει η Microsoft, το WilySupply έκανε ακριβώς αυτό, προστατεύοντας την ταυτότητα των επιτιθέμενων.

Το άλλο εργαλείο που χρησιμοποίησαν οι επιτιθέμενοι ήταν το Meterpreter, το συστατικό της μνήμης του Metaplsoit framework.

“Το εκτελέσιμο αρχείο κατέληξε να είναι ένα κακόβουλο δυαδικό αρχείο που τρέχει PowerShell scripts με το Meterpreter reverse shell, το οποίο χορήγησε σιωπηλά απομακρυσμένο έλεγχο στον εισβολέα. Το δυαδικό (binary) εντοπίστηκε από τη Microsoft σαν “Rivit.”

“Χρησιμοποιώντας τις προβολές χρονικής γραμμής και των δέντρων επεξ στην κονσόλα ATP του Windows Defender, κατορθώσαμε να εντοπίσουμε τη διαδικασία που ήταν υπεύθυνη για τις κακόβουλες δραστηριότητες και να επισημάνουμε με ακρίβεια την εμφάνισή τους. Εντοπίσαμε αυτές τις δραστηριότητες σε έναν updater ενός λογισμικού επεξεργασίας”, αναφέρει η Microsoft.

“Η forensic εξέταση του φακέλου Temp στο μολυσμένο μηχάνημα, μας έδειξε έναν νόμιμο updater τρίτων να τρέχει ως υπηρεσία.”

Το updater κατέβασε ένα ανυπόγραφο εκτελέσιμο αρχείο χαμηλού επιπολασμού (low-prevalence) πριν παρατηρηθεί η κακόβουλη δραστηριότητα.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).