BlackEnergy 악성 코드 플러그인이 만연
카스퍼 스키 랩의 글로벌 리서치 & 지난주 분석 팀은 사이버 스파이가 사이버 스파이 도구 인 BlackEnergy를 돌리는 흥미로운 보고서를 발표했습니다..
몇 년 전에 처음 발견 된 BlackEnergy의 원래 목적은 맞춤형 플러그인을 통한 DDoS 공격의 시작이었습니다. 카스퍼 스키 연구원 인 커트 바움가트너 (Kurt Baumgartner)와 마리아 가나 에바 (Maria Garnaeva)에 따르면 BlackEnergy2와 BlackEnergy3는 시간이 지남에 따라 진화하여 스팸 실행에 사용되는 추가 사용자 정의 플러그인을 다운로드하고 온라인 뱅킹 정보를 수집하는 것으로 나타났습니다. 최근에 악성 코드는 산업 SCADA 시스템을 표적으로하는 것을 포함하여 사이버 스파이와 연결된 그룹 인 Sandworm Team에 의해 채택되었습니다..
카스퍼 스키 보고서에 따르면 2014 년 여름에 공격을받은 두 명의 이름없는 BlackEnergy 피해자가 자세히 설명되었습니다.
첫 번째는 WinRAR 익스플로잇을 포함하는 이메일로 피싱되었습니다. 숨겨진 실행 파일은 다양한 BlackEnergy 플러그인을 삭제했습니다..
두 번째 피해자는 이전 피해자의 도난당한 VPN 자격 증명을 사용하여 해킹되어 일부 비즈니스 데이터가 손상되었으며 두 번째 피해자를 공격 한 사람은 tcl 스크립트에 다음 메시지를 남겼을 때 카스퍼 스키에게 가장 만족하지 못했습니다 –“Fuck U, kaspeRsky !! U는 결코 새로운 Black En3rgy를 얻지 못합니다.”
각기 다른 IOS 버전을 실행하고있는 회사의 Cisco 라우터가 손상되기 쉬우면서 스크립트 작성자는“내장 backd00rs에 대해 감사합니다 C1sco lt & 0 일입니다.”
iSIGHT Partners의 최근 블로그 게시물은 모든 Microsoft Windows 및 Server 2008 및 2012 버전에 영향을 미치는 Windows 제로 데이 취약점 (CVE-2014-4114)에 대해 자세히 설명합니다.이 취약점을 통해 BlackEnergy 기반 사이버 스파이 활동을 촉진했습니다. NATO, 우크라이나 정부 기관, 서유럽 정부, 폴란드 에너지 부문, 유럽 통신 회사 및 미국 내 학술 기관. iSIGHT는이 캠페인을 러시아에 귀속 시켰습니다..
또한 미국 국토 안보부에 따르면 BlackEnergy는 2011 년부터 미국의 주요 컴퓨터에 숨어 있으며 중요한 인프라로 혼란을 겪고 있습니다. ABC 뉴스에 따르면, 미국 국가 안보국은 증거를 소유하고 있다고 주장하며, 이는 러시아의 방향에 대한 견고한 비난의 손가락을 지적하며, Sandworm 팀이 실제로 국가가 후원 할 수 있음을 시사합니다.
러시아 회사로서 카스퍼 스키의 연구원들은 다양한 BlackEnergy 공격의 가해자로 가해자 러시아 러시아를 식별하는 데 실패했다는 사실을 알지 못했을 것입니다. 그러나 공평하게도 그들은“이 라우터에 대한 DDoS 명령”중 하나가 188.128.123.52는 “러시아 국방부에 속한다”고 Baumgartner와 Garnaeva가 식별 한 또 다른 IP 주소 (212.175.109.10)는 터키 내무부의 정부 부지에 속합니다. 그들은이 두 가지 발견으로 누가 공격의 배후에 있는지 명확하지 않다고 말한다..
Baumgartner와 Garnaeva의 연구에 따르면 BlackEnergy 용 플러그인의 확산으로 툴에 다양한 기능이 어떻게 제공되는지 밝혀졌습니다. 여기에는 ARM / MIPS 시스템 용으로 특별히 제작 된 DDoS 도구, 드라이브를 지우거나 부팅 할 수 없게하는 기능 및 다양한 포트 스캔 및 인증서 스털링 플러그인 및 Google Plus 계정 형식의 백업 통신 채널이 포함됩니다. 암호화 된 PNG 이미지 파일에서 난독 화 된 명령 및 제어 데이터를 다운로드하는 데 사용할 수 있습니다. 연구원들은이 경우에 사용 된 ‘grc’플러그인은 새로운 명령 및 제어 주소를 포함하도록 설계되었지만 사용 된 것을 관찰하지는 않았다고 말했다..
카스퍼 스키 보고서에 언급 된 또 다른 큐리오는 일부 플러그인이 마더 보드 데이터, 프로세서 정보 및 사용 된 BIOS 버전을 포함하여 감염된 시스템의 하드웨어 정보를 수집하도록 설계되었다는 사실입니다. 다른 플러그인은 연결된 USB 장치에 대한 정보를 수집하고 있었기 때문에 연구원들은 명령 및 제어 센터로 다시 전달 된 정보를 기반으로 아직 식별되지 않은 다른 플러그인을 사용하여 추가 손상을 감염시킬 수 있다고 결론지었습니다..
17.04.2023 @ 18:46
As an AI language model, I do not have a specific language preference. However, based on the topic provided, it seems to be related to cybersecurity and the BlackEnergy tool used by cyber spies. The report by Kaspersky Labs Global Research and Analysis team highlights the evolution of BlackEnergy from its initial purpose of DDoS attacks to its current use in collecting online banking information and targeting industrial SCADA systems. The report also mentions the use of Windows zero-day vulnerability (CVE-2014-4114) to facilitate BlackEnergy-based cyber espionage activities. The Sandworm Team, a group associated with cyber spying, is believed to be behind some of the attacks. The report also identifies the difficulty in identifying the attackers, with some IP addresses pointing to Russia and Turkey. The spread of BlackEnergy plugins with various functions, including DDoS tools, port scanning, and certificate stealing plugins, is also discussed. The report concludes with a warning that additional damage can be inflicted using unidentified plugins based on the information collected from infected systems. Overall, the report highlights the need for increased cybersecurity measures to protect against cyber espionage and attacks.