Специалисти по киберсигурност от Blackberry и KPMG са се натъкнали на нова версия на рансъмуер заплаха, която атакува, както Windows, така и Линукс сървъри, предава Dark Reading. Става дума за Java-базирана зловредна програма с името Tycoon, като групата зад него е известна с това, че провежда целенасочени кампании към софтуерни компании и образователни институции.

Какво е особеното на тази нова версия на Tycoon? Програмата е позната от края на миналата година, когато започва да се разпространява в силно ограничени инциденти. В атаката, на която се натъкват двете компании, престъпниците използват троянизирана версия на Java Runtime Environment (JRE), компилирана в JIMAGE формат – специален фйлов формат, който съхранява JRE образи и се използва от JVM при изпълнение. Форматът съдържа класови файлове и ресурси на всички Java модули, които поддържат конкретния JRE билд. За разлика от далеч по-популярния Java Archive format (JAR), JIMAGE се използва почти само за вътрешни цели от Java Development Kit (JDK).

„Поради това, че JIMAGE се използва най-вече от екипите на Java, той представлява добър начин за прикритие. Това е така понеже никой няма да тръгне да изследва JIMAGE и да заподозре, че нещо не е както трябва“, обяснява Клаудиу Теодореску от Blackberry. И разбира се, той е подминаван от антивирусните продукти. По отношение на конкретната зловредна проба, то тя е съдържала тя е съдържала, както версия за Windows, така и за Линукс на шел-скрипта, който стартира изпълнението на рансъмуера.

Подобно и на други съвременни рансъмуер групи, самата им атака е добре премислена и поетапна, стремяща се да нанесе възможно повече вреда и извлече максимум финансова полза. В този случай, атакуващата страна се е свързала със системата през RDP сървър, разположен на мрежата, след което е локализирал цел и се е сдобил с локалните администраторски записи за вход, инсталирали ProcessHacker, за да деактивират антивирусната защита и променили паролите за Active Directory сървърите, за да не може жертвата да поеме контрол над системата, след което бива инсталиран рансъмуерът. Стъпките се повтарят за всеки сървър поотделно, а разширенията на криптираните файлове са .thanos, .grinch, и .redrum. Последното подсказва връзка на Tycoon с друга вече позната рансъмуер заплаха – Dharma/CrySIS.

Blackberry отбелязват тенденция от последните месеци сред разпространителите на криптовируси към нетрадиционни за този тип заплахи програмни езици.

„Създателите на зловреден код се опитват постоянно да остават в сянка. Те бавно мигрират от конвенционалната обфускация и се местят към нетипични програмни езици и рядко използвани файлови формати. Ние вече сме свидетели на повишена активност от страна на рансъмуер, написан на езици, като Java и Go. Но това е първия случай, в който се натъкваме на заплаха, която експлоатира JIMAGE формата, за да създаде отделен JRE билд“, споделят в заключението си към доклада от компанията.

5 3 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари