facebook LinkedIN LinkedIN - follow
Aktuality -> Komunikace a sítě - 9. 12. 2020 - Ing. Lukáš Grásgruber

Nový malware PowerPepper se skrývá v obrázku a umožňuje krást firemní data

Nový druh škodlivého kódu, který umožňuje útočníkům proniknout do systému napadených firem a provádět skrytou špionáž i stahování citlivých dat, odhalila společnost Kaspersky. Za malwarem PowerPepper, který se ve zvýšené míře objevil i v Evropě, stojí skupina DeathStalker, která patří mezi tvůrce velmi pokročilých hrozeb.



O skupině DeathStalker informovali analytici společnosti Kaspersky poprvé letos v srpnu a nyní zaznamenali zvýšenou aktivitu hackerů, kteří využívají ke svým nekalým praktikám její infrastrukturu, tentokrát právě backdoor PowerPepper. Ten k vzdálené komunikaci s řídícím serverem zneužívá přenos DNS přes protokol HTTPS, aby tato komunikace vypadala jako legitimní. Malware PowerPepper se šíří prostřednictvím spearphishingových e-mailů se škodlivými přílohami nebo škodlivými odkazy přímo v těle zprávy. Skupina už k jeho šíření zneužila různé mezinárodní události, například úpravy předpisů o emisích uhlíku, a dokonce i pandemii Covid-19, aby přiměla své oběti k otevření škodlivých dokumentů. Do systému napadené firmy se PowerPepper umí infiltrovat různými technikami, včetně steganografie – procesu, který útočníkům umožňuje skrýt data mezi legitimní obsah zprávy.

V případě viru PowerPepper je škodlivý kód vložen do zdánlivě běžných obrázků kapradí nebo paprik (odtud i název tohoto malwaru) a poté je extrahován skriptem zavaděče. Jakmile se tak stane, PowerPepper začne plnit příkazy zasílané přes vzdálený řídící server operátory skupiny DeathStalker. Cílem této operace je ukrást citlivé obchodní informace. Malware může provádět jakýkoli shellový příkaz v cílovém systému, včetně příkazů pro standardní průzkum dat, jako je shromažďování informací o uživateli a souborech v počítači, procházení souborů sdílených na síti a stahování dalších binárních knihoven nebo kopírování obsahu do vzdálených úložišť. Příkazy přicházejí z řídícího serveru prostřednictvím komunikace DNS přes HTTPS (DoH), což je velmi efektivní způsob, jak zamaskovat škodlivou komunikaci a vydávat ji za legitimní dotazy na název serveru.

Využití steganografie je však jen jednou z několika technik maskování a úniků před zraky napadané firmy, které malware používá. Zavaděč je maskovaný jako ověřovací nástroj GlobalSign (poskytovatel služeb ověřování identity), používá vlastní způsob krytí a části škodlivých doručovacích skriptů jsou skryty v objektech vložených do Wordu. Komunikace odnože (implantovaného kódu) se servery je šifrována a díky využití důvěryhodných podepsaných skriptů ji nemusí jako škodlivou aktivitu odhalit ani antivirový software.

Případy útoků malwaru PowerPepper se objevily především v Evropě, ale také v Americe a Asii. Ve škodlivých kampaních popsaných už dřív se skupina DeathStalker zaměřovala především na poradenské firmy a organizace, které poskytují finanční služby nebo se věnují obchodování s kryptoměnami.

Malwaru PowerPepper se věnoval nedávno publikovaný materiál „Powered by Croissant. Baguette Edition“ od společnosti Kaspersky. Záznam prezentace tohoto dokumentu a dalších informací ohledně vývoje nejnovějších kybernetických hrozeb můžete zhlédnout zde.

Podrobnosti o malwaru PowerPepper a jeho technikách útoku si můžete přečíst na serveru Securelist.com.


 
  

- PR -

50(v)tipů paní Teskové #2: SIEM aneb jak se z logů dělá příběh a z příběhu varování

Teskalab LogoV minulém díle jsme si povídali o tom, co je to log management a proč je důležitý. Je to takový základ IT hygieny. Něco jako kartáček na zuby pro vaše IT. A řekněme si na rovinu, žádná velká zábava s ním není, ale zkuste to měsíc bez něj a líbit se vám to nebude. Dneska ale půjdeme o krok dál. Protože když už máte logy, je čas se na ně nejen dívat, ale také s nimi pracovat. A to se nejsnáze dělá tak, že se jim naučíte rozumět. Dovolte mi, abych vám představila dalšího hrdinu kybernetické bezpečnosti: SIEM.

  

- PR -

Od tabulek k centralizovanému systému řízení výroby

Implementace ERP Vision zefektivnila využití výrobních dat


modV současné době je poměrně běžným požadavkem společností, které implementují ERP systém, vyřešení podpory řízení některých klíčových procesů. S přípravou takových řešení je obvykle spojeno nejvíce práce na projektu implementace. Na začátku často bývá představa ideálního stavu, ale chybí detailní pohled včetně uvědomění konkrétních datových toků. Popravdě ani není v silách zákazníků tyto detaily zpracovat.