Vorsicht vor der Smokedham-Hintertür, warnen Sicherheitsexperten
Trac-Labsdas sich selbst als „ein paar engagierte Forscher mit einer gemeinsamen Leidenschaft für die Erforschung und Bekämpfung von Cyberkriminalität“ beschreibt, hat eine neue Analyse einer besonders besorgniserregenden Bedrohung durch einen Akteur namens UNC2465 veröffentlicht, der vor allem als früheres Mitglied des Netzwerks bekannt ist inzwischen nicht mehr existierende Darkside-Rasnomware-Gruppe. Die Bedrohung selbst ist nicht neu, aber diese neueste Analyse und Warnung legen nahe, dass die Windows-Hintertür „Smoked Ham“ aktiv ist und Benutzer bedroht. Folgendes müssen Sie wissen:
Geräucherter Schinken steht im Windows-Backdoor-Hacking-Menü
Obwohl man das hoffen würde die Auflösung der Darkside-Ransomware-Gruppe und das Laufende Störung der Betriebsinfrastruktur der Lockbit-Gruppe durch die Strafverfolgungsbehörden, dass auch bekannte Cyberkriminalitätsorganisationen wie UNC2465 ihre Geschäftstätigkeit aufgeben würden. Eine solche Hoffnung sollte leider am besten unter „verloren“ abgelegt werden. „In den jüngsten Aktivitäten hat UNC2465 trojanisierte Installationsprogramme genutzt, die als legitime Tools getarnt waren“, um Backdoor-Nutzlasten mit geräuchertem Schinken zu liefern. sagten die Sicherheitsforscherund fügte hinzu: „Es ist wahrscheinlich, dass künftige UNC2465-Operationen darauf angewiesen sein werden.“ verschiedene Ransomware-Familien“, angesichts der oben genannten Veränderungen in der Bedrohungslandschaft.
Die Forscher berichteten, dass beobachtet wurde, wie UNC2465 die Smoked-Ham-Windows-Hintertür über die mittlerweile standardmäßige Phishing-E-Mail-Taktik sowie böswillige Werbung oder Malvertising-Kampagnen über Bing- und Google-Anzeigen verbreitet. „Dienste wie Google Drive und Dropbox wurden genutzt, um bösartige Payloads zu hosten“, heißt es in dem Bericht.
Wenn es um technische Details geht, so die Trac-Labs-Forscher, erleichtert die Smoked-Ham-Windows-Hintertür den Erstzugriff und die Persistenz in Zielnetzwerken. UNC2465 nutzt leicht verfügbare und legitime Penetrationstest-Tools für seine Netzwerkaufklärung und setzt das Remote-Desktop-Protokoll für laterale Netzwerkbewegungen ein, wobei Mimikatz dann für die Erfassung von Anmeldeinformationen verwendet wird.
Der Cyber-Bedrohungscluster stellt eine Bedrohung für Windows-Benutzer dar
Angesichts der Tatsache, dass es sich bei UNC2465 um das handelt, was die Sicherheitsforscher als „Cyber-Bedrohungscluster“ bezeichnen, der „für die Durchführung vielschichtiger Erpressungskampagnen bekannt ist“, wäre es töricht, sie nach dem Untergang einiger der Ransomware-Gruppen, denen sie zuvor angeschlossen waren, abzuschreiben. Die Wahrheit ist, dass es so ist Ransomware-Gruppen kommen und gehenEgal wie produktiv, wie bekannt sie auch sein mögen, irgendwann werden sie entweder durch die Strafverfolgung oder durch Gier gestürzt und lösen sich auf, um neue Bedrohungen zu bilden. Diese Entwicklung der Gruppenaktivität ist der Grund, warum die Ransomware-Landschaft weiterhin so gefährlich ist, unabhängig davon, wer hinter der Bedrohung steckt. Es erklärt auch, warum Affiliates, die Cyberkriminellen, die die Arbeit als Hacker erledigen, weiterhin Arbeit finden werden. UNC2465 wird die Smoked-Ham-Windows-Hintertür verwenden, genau wie andere Bedrohungsakteure mit anderen Windows-Hintertüren, und daher sollten Organisationen weltweit weiterhin Best Practices für die Sicherheit befolgen, um sich gegen die anhaltende Bedrohung zu verteidigen. Seien Sie versichert, dass Microsoft, Google und Dropbox alle über Sicherheitsmaßnahmen verfügen, um böswillige Werbung und das Hosten schädlicher Dateien zu verhindern, und dass alle Kampagnen, die diese Abwehrmaßnahmen durchbrechen, so schnell wie möglich entfernt werden. Bleiben Sie in der Zwischenzeit wachsam und fallen Sie nicht auf die Phisher herein …
