Специалисты компании FireEye обнаружили вредоноса Hammertoss, который прикрывается обычным сетевым трафиком (в том числе Twitter и GitHub), чтобы иметь возможность подольше шпионить за намеченной жертвой из корпоративного сектора. Малварь настолько хорошо имитирует поведение живого пользователя, вплоть до соблюдения графика его работы, что обнаружить ее весьма сложно. В компании FireEye убеждены, что за Hammertoss стоит серьезная группа российских хакеров.
Хак-группа, разработавшая Hammertoss, известна специалистам с 2014 года, и они обозначают ее именем APT29 Advanced Persistent Threat 29). Цели, которые группа выбирает для атак, а также тот факт, что ее малварь явно заточена под московский часовой пояс и российский график праздников, намекают, что группа тоже российская.
С целью затруднить обнаружение своего нового вредоноса, хакеры научили его виртуозно скрываться за обыкновенным сетевым трафиком.
Впервые Hammertoss заметили вначале текущего года, тогда вредонос использовал два бекдора, для проникновения в систему жертвы и, казалось, что он используется больше для прикрытия, чтобы «держать дверь открытой». С тех пор поведение малвари сильно изменилось.
APT29 задействовали сразу несколько известных методик, чтобы лучше скрыть вредоноса. Так Hammertoss отсылает совершенно легитимные, неподозрительные запросы социальным сетям, ежедневно посещает разные страницы в Twitter, что особенно забавно, в свете того, что APT29 создают сотни Twitter-аккаунтов, и совсем не для хороших целей. Вредонос также использует скомпрометированные веб-серверы для C&C (если почему-то не может зайти на GitHub или в Twitter), и даже работает строго по тому же графику, что и реальный пользователь, ставший жертвой заражения.
Хуже того, Hammertoss «дружит» со стеганографией и может получать команды через обычные картинки, размещенные в сети (к примеру, на GitHub), не требующие никакой распаковки и исполнения.
Большую часть времени вредонос ведет себя тише воды, ниже травы, лишь изредка отправляя украденные у жертвы данные в облачное хранилище.
Специалисты FireEye отмечают, что хакеры не применяли никаких новых, доселе невиданных трюков, но, тем не менее, такого сложного и хитрого использования уже известных техник, на таком уровне, в FireEye еще не встречали.
Фото: Colin
sl@rx
30.07.2015 в 19:36
«В компании FireEye убеждены, что за Hammertoss стоит серьезная группа российских хакеров.»
> серьезная группа
>> российских хакеров
Когда группа русских хакеров были не серьёзными?
Да даже, хотя бы 1 русский хакер, уже помоему серьёзней некуда. Вспомнить того же «кобана» и что творилось в середине нулевых по всему миру.
saint_byte
31.07.2015 в 16:55
А что Кобан ? Кобану папа не разрешал заниматься серьезным взломом.
sl@rx
01.08.2015 в 10:31
Шутки за 300. Не знаешь кто это, не открывал бы рот )
saint_byte
31.07.2015 в 16:53
гыгы ,… Скоро найдутся вирусы которые банально внедряются в рабочие приложухи , или типа прокси-компонента в хром
xtbvc17
26.08.2015 в 07:53
Вирусные плагины нашёл полгода назад)
Андрей
08.09.2015 в 19:49
Ага. Конечно. Доказательств поводу происхождения вируса как всегда нет? Раньше были в моде страшилки о китайских хакерах, сегодня о российских?
Kismet
10.09.2015 в 14:59
А кто стикеры заражает в Viber