Új kifinomult hackertámadást vettek át az oroszok, de mindenkinek figyelni kell rá

Cikk meghallgatása

00:00 00:00

Az orosz kormány egyik legelitebb hackercsoportja a Clickfix néven ismert malwerrel támadta az ukrán állami szervezeteket, hogy bizalmas információkat lopjon el – figyelmeztetett az ukrán hatóság.

A Clickfix egy olyan hatékony támadási technikává vált, amelyet a támadók, elsősorban pénzügyi indíttatású bűnözők, az elmúlt évben kezdtek el használni. A támadók irányítása alatt álló weboldalak egy CAPTCHA-t jelenítenek meg, amely megköveteli a látogatótól, hogy egy szövegösszeállítást másoljon ki, és illesszen be a terminálba. A szöveg olyan szkripteket tartalmaz, amelyek beírása után rosszindulatú műveleteket hajtanak végre, jellemzően rosszindulatú programok telepítésével vagy érzékeny adatok kiszivárgásával. Az ukrán CERT-UA szerdán közölte, hogy a Sandworm, a GRU orosz katonai hírszerző ágon belüli hackeregység most ezt a technikát használja.

„GhettoVibe”, „ScoutCurl” és még sok más támadás

A Clickfix támadások tavasszal kezdődtek, és nyáron is folytatódtak. A támadássorozat során legalább egy szervezet hálózatát sikerült feltörni, amikor egy csatlakoztatott eszköz megfertőzödött. Ezen az eszközön a FreakyPoll-t, a Sandworm egyik egyedi kártevőcsomagját találták. Az ukrán hatóságok 10 feltört weboldalt fedeztek fel, amelyek egy PowerShell parancsot jelenítettek meg egy hamis CAPTCHA részeként, amely azt állította, hogy ezt át kell adni annak biztosítására, hogy valódi ember legyen a látogató eszköz billentyűzete mögött.

Miután a felhasználó beírta a szkriptet, az rosszindulatú Visual Basic szkripteket és más rosszindulatú programokat telepíthetett, amelyek ezután különféle Sandworm kártevőket telepítettek. Az elsőként futó kártevő jellemzően egy felderítő program volt, amely információkat gyűjtött a fertőzött eszközről. A fontosnak ítélt gépek ezután további kártevőket kaptak, amelyek hátsó ajtót ütöttek a rendszerbe. A FreakyPoll egy Python szkript, amely hátsó ajtót használ az eszközökön. A kampányban használt egyéb rosszindulatú programok közé tartozik a FluidLeech, amely víruskereső programnak álcáztak.

A CERT-UA számos más támadási technikát is azonosított, amelyeket a Sandworm használt. Az egyik támadási technika hátsó ajtókat nyit az Android-eszközökön, olyan csalikkal, amelyek célja, hogy alkalmazások telepítésére csábítsák a célpontokat. A CowardDuck néven nyomon követett támadási technika potenciálisan érzékeny fájlokat gyűjt össze, és elküldi azokat egy támadó által irányított szerverre.

Korábban a Sandworm elsősorban úgy fertőzte meg az eszközöket, hogy torrentkövetőkbe illegális  szoftverekre mutató linkeket juttatott el. Más esetekben a hackercsoport hosszas beszélgetéseket folytatott a célpontokkal a Signalon keresztül. Végül a támadó arra vette rá a célpontot, hogy biztonsági szoftvernek álcázott rosszindulatú programot telepítsen.

Az ukrán testület felszólította a weboldalak rendszergazdáit és a tárhelyszolgáltatókat, hogy figyeljék a webshelleket, a jogosulatlan bővítményeket és a kompromittálásra utaló egyéb jeleket.

A szervezetek csökkenthetik a Clickfix támadások kockázatát a szkripteszközök (például a PowerShell) korlátozásával, az alkalmazások engedély listájának (allowlisting) kikényszerítésével is. Emellett a legalacsonyabb jogosultságú fiókok használata, valamint a végpontészlelések és a web-/e-mail filtering telepítése szintén hatékony védelmi eszközök. A gyanús parancsok végrehajtásának figyelése és a rosszindulatú letöltések blokkolása további védelmi intézkedések közé tartoznak, ha egy felhasználót megtévesztenek.

Jelen írás nem minősül befektetési tanácsadásnak. Részletes jogi információ

Költs kriptóból közvetlenül a Kraken Krak Mastercarddal!

MI A TEENDŐD?
  1. Regisztrálj a Krakenre a linkünkkel.
  2. Igényeld meg ingyenesen a Krak Cardot.
  3. Add hozzá Apple Payhez vagy Google Payhez.
  4. Vásárolj közvetlenül Kraken egyenlegedről akár 400+ kripto- és fiat eszközzel.
  5. Élvezd a 2% cashback-et a vásárlások után, havi vagy éves kártyadíj nélkül!
Készen állsz a mindennapi kriptós fizetésre?

Krak Card igénylése

Értékelés

logo