Po navedbah varnostnega prodajalca FireEye se zlonamerno programsko orodje, ki je morda najbolj znano za vdor v infrastrukturo RSA SecurID, še vedno uporablja pri usmerjenih napadih.
Poison Ivy je trojanski program za oddaljeni dostop (RAT), ki je bil izdan pred osmimi leti, vendar ga nekateri hekerji še vedno podpirajo, je zapisal FireEye v novem poročilu, objavljenem v sredo. Ima poznan vmesnik sistema Windows, enostaven za uporabo in lahko beleži pritiske tipk, krajo datotek in gesel.
[Strokovnjak za varnost Roger A. Grimes ponuja vodstvo po najnovejših grožnjah in razloži, kako jih lahko ustavite, v videoposnetku Shop Talk "Fight Today's Malware". | Bodite na tekočem s ključnimi varnostnimi težavami v spletnem dnevniku Security Adviser in glasilu Security Central. ]
Ker se Poison Ivy še vedno tako pogosto uporablja, je FireEye dejal, da je varnostnim analitikom težje povezati njegovo uporabo s posebno skupino vdorov.
Za analizo je družba zbrala 194 vzorcev Poison Ivy, uporabljenih pri napadih iz leta 2008, pri čemer je preučila gesla, ki so jih napadalci uporabljali za dostop do RAT-ov in uporabljenih strežnikov za upravljanje in upravljanje.
Tri skupine, od katerih ima ena sedež na Kitajskem, uporabljajo Poison Ivy pri usmerjenih napadih, ki trajajo vsaj štiri leta nazaj. FireEye je skupine identificiral po geslih, ki jih uporabljajo za dostop do Poison Ivy RAT, ki so ga postavili na ciljni računalnik: admin338, th3bug in menuPass.
Skupina admin388 naj bi bila aktivna že januarja 2008 in je bila usmerjena na ponudnike internetnih storitev, telekomunikacijska podjetja, vladne organizacije in obrambni sektor, je zapisal FireEye.
Žrtev je navadno tarča tiste skupine z e-poštnimi sporočili z namenom lažnega predstavljanja, ki vsebujejo zlonamerno prilogo Microsoft Word ali PDF s kodo Poison Ivy. E-poštna sporočila so v angleščini, vendar uporabljajo kitajski nabor znakov v telesu e-poštnega sporočila.
Prisotnost Poison Ivy lahko kaže na močnejše zanimanje napadalca, saj ga je treba sproti nadzorovati ročno.
"RAT-i so veliko bolj osebni in lahko kažejo, da imate opravka z namenskim akterjem grožnje, ki ga zanima vaša organizacija," je zapisal FireEye.
Za pomoč organizacijam pri odkrivanju Poison Ivy je FireEye izdal "Calamine", nabor dveh orodij, namenjenih dekodiranju njegovega šifriranja in ugotavljanju, kaj krade.
Ukradene informacije šifrira Poison Ivy s šifro Camellia z 256-bitnim ključem, preden jih pošlje na oddaljeni strežnik, je zapisal FireEye. Šifrirni ključ izhaja iz gesla, ki ga napadalec uporablja za odklepanje Poison Ivy.
Mnogi napadalci preprosto uporabljajo privzeto geslo, "admin". Če pa se je geslo spremenilo, lahko za njegovo prestrezanje uporabite eno od orodij Calamine, skript PyCommand. Drugo orodje Calamine lahko nato dešifrira omrežni promet Poison Ivy, kar lahko nakaže, kaj je napadalec počel.
"Kalamin ne sme ustaviti odločnih napadalcev, ki uporabljajo Poison Ivy," je opozoril FireEye. "Toda njihova kriminalna prizadevanja lahko to zelo otežijo."
Pošljite nasvete in komentarje za novice na [email protected]. Sledite mi na Twitterju: @jeremy_kirk.
