Molerats Hacking Groupin haittaohjelma, joka vaikuttaa Googleen ja Facebookiin

Nämä tietoverkkorikolliset ovat olleet aktiivisia ainakin vuodesta 2012 lähtien, ja niiden katsotaan olevan suuremman ryhmän, joka tunnetaan nimellä Gazan Cybergang, jako.

SharpStage- ja DropBook-takaovet

- Moleratit ryhmä uudessa hyökkäyksiä , On käyttämällä kahta uutta takaovea , yksi on SharpStage ja muut DropBook . Näihin on lisättävä a haittaohjelmien latausohjelma jota emme tienneet aiemmin, ja sillä on nimi MoleNet . Tämän haittaohjelman tarkoituksena on välttää havaitsemis- ja poistamistoimia käyttämällä Dropbox- ja Facebook-palveluita tietojen varastamiseen ja operaattoreiden ohjeiden vastaanottamiseen. Nämä kaksi takaovea käyttävät Dropboxia varastettujen tietojen poimimiseksi.

Se testattiin ensin email joka herätti Lähi-idän poliittisten henkilöiden ja hallituksen virkamiesten huomion. Petos huipentui, kun he päätyivät lataamaan kyseisen haitallisen asiakirjan. Tässä tapauksessa se oli PDF, jossa väitetyt keskustelut Israelin pääministerin ja Saudi-Arabian kruununprinssin välillä.

Huijauksen toiminta perustui asiakirjaan, joka tarjosi yhteenvedon sisällöstä ja pakotti uhrin syöttämään salasanan saadakseen kaikki tiedot ja joka oli tallennettu Dropboxiin tai Google Driveen. Hyökkäys käyttää kolmea tiedostoa, joista kaksi ovat SharpStage ja DropBook takaovia, jotka lopulta kutsuvat hyökkääjän hallitsemaa Dropbox-tallennustilaa muiden haittaohjelmien lataamiseen. Kolmas oli toinen takaovi nimeltä Spark, jota he olivat käyttäneet aikaisemmissa kampanjoissa.

Tässä on kaavio, joka osoittaa, että kaikki alkaa PDF-dokumentista, jonka mainitsimme aiemmin.

Cybereason-raportti ja Facebook-komennot

Cybereasonin raportti korostaa kuinka Python-pohjaista DropBook-takaovea käytetään. Tässä tapauksessa se eroaa muista Molerats-ryhmän työkaluista siinä, että se vastaanottaa ohjeita vain väärennettyjen tilien kautta Facebookissa ja Simplenotessa (IOS-sovellus muistiinpanojen tekemiseen). Hyökkääjät aikovat hallita takaovea joidenkin komentojen avulla, jotka on julkaistu Facebook-viestissä. Lisäksi he käyttävät samaa menettelyä tarjotakseen tarvittavan tunnuksen muodostaakseen yhteyden Dropbox-tiliin. Sitten meillä on Simplenote, joka toimii varmuuskopiona, jos tapahtuu tilanne, että haittaohjelma ei voi noutaa Facebook-tunnusta.

On huomattava, että koska laillisia komentoja käytetään, hyökkääjän viestinnän poistaminen haittaohjelmien kanssa tulee vaikeammaksi haasteeksi.

SharpStage-takaluukku ja paljon muuta

Puhumme nyt haittaohjelmista, jotka vaikuttavat Googleen ja Facebookiin. DropBook, josta puhuimme aiemmin, perustui Pythoniin. SharpStage-takaovi on kuitenkin kirjoitettu .NET-verkkoon ja se perustuu perinteiseen komento- ja ohjauspalvelimeen (C2). Tässä mielessä Cybereason löysi tästä haittaohjelmasta kolme muunnosta, joita kehitettiin jatkuvasti. Siten kaikki nämä SharpStage-muunnokset jakavat nämä toiminnot, kuten:

• Kuvakaappausten ottaminen.
• Suorittaa mielivaltaisia ​​komentoja PowerShell- ja WMI-komentojen suorittamiseksi.
• Pura C2: lta vastaanotetut tiedot (hyötykuorma, pysyvyysmoduuli).
• Dropbox-sovellusliittymä tietojen lataamiseen ja suodattamiseen.

Yksi korostettava asia on, että se käyttää koodia, joka tarkistaa, onko vaarantuneessa koneessa arabian kieli asennettu. Siten verkkorikollinen ohittaa tietokoneet, jotka kuuluvat merkityksettömille ihmisille ja suurimmalle osalle hiekkalaatikoita.

Viimeisenä, meillä on kolmas Cybereasonin löytämä haittaohjelma nimeltä MoleNet. Se voi käyttää WMI-komentoja käyttöjärjestelmän profilointiin, virheenkorjausten löytämiseen, koneen uudelleenkäynnistämiseen komentoriviltä ja käyttöjärjestelmän tietojen lataamiseen.