Οι ερευνητές της ESET ανακάλυψαν ένα νέο downloader, που χρησιμοποιεί διάφορα στάδια και πολλές ασυνήθιστες τεχνικές για να καταχωριθεί ως «Default Print Monitor». Το ονόμασαν DePriMon.
Οι ερευνητές της ESET, κατά την ανάλυση μίας κυβερνοεπίθεσης ενάντια σε στόχους στη Μέση Ανατολή, εντόπισαν ένα τεχνικά ενδιαφέρον downloader. Το malware χρησιμοποιεί πολλές παράδοξες τεχνικές, μία εκ των οποίων ξεχωρίζει: η καταχώριση ενός νέου τοπικού συστήματος port monitor με το όνομα «Default Print Monitor».
Λόγω αυτής της τεχνικής, οι ερευνητές της ESET ονόμασαν το downloader DePriMon, και, δεδομένης της πολυπλοκότητας και της αρθρωτής αρχιτεκτονικής του, θεωρούν ότι αποτελεί ένα malware framework.
Σύμφωνα με την τηλεμετρία της ESET, το malware DePriMon δραστηριοποιείται τουλάχιστον από τον Μάρτιο του 2017. Ανιχνεύτηκε σε μια ιδιωτική εταιρεία με έδρα την Κεντρική Ευρώπη και σε δεκάδες υπολογιστές στη Μέση Ανατολή. Σε μερικές περιπτώσεις, το DePriMon εντοπίστηκε μαζί με το κακόβουλο λογισμικό ColoredLambert, που χρησιμοποιείται από την ομάδα κυβερνοκατασκοπείας Lamberts (γνωστή και ως Longhorn) και συνδέεται με τη διαρροή Vault 7.
Οι ερευνητές της ESET πιστεύουν ότι το DePriMon είναι ένα εξαιρετικά προηγμένο downloader, και ότι οι δημιουργοί του έχουν καταβάλει σημαντική προσπάθεια για να δομήσουν την αρχιτεκτονική του και να συνθέσουν τις σημαντικές λειτουργίες του. Επομένως, αξίζει να δοθεί προσοχή και σε άλλα στοιχεία πέρα από την περιορισμένη γεωγραφική κατανομή των στόχων του και την πιθανή σχέση του με γνωστή ομάδα κυβερνοκατασκοπείας.
Το DePriMon εγκαθίσταται στη μνήμη και εκτελείται απευθείας από εκεί ως αρχείο DLL χρησιμοποιώντας την τεχνική φόρτωσης DLL. Δεν αποθηκεύεται ποτέ στο δίσκο. Διαθέτει ένα εκπληκτικά εκτεταμένο αρχείο ρυθμίσεων με ενδιαφέροντα στοιχεία, η κρυπτογράφησή του έχει εκτελεστεί σωστά και προστατεύει αποτελεσματικά την επικοινωνία με τον C&C του. Ως αποτέλεσμα, το DePriMon είναι ένα ισχυρό, ευέλικτο και ανθεκτικό εργαλείο, που έχει σχεδιαστεί για να λαμβάνει και να εκτελεί ένα payload, και, στη συνέχεια, να συλλέγει κάποιες βασικές πληροφορίες σχετικά με το σύστημα και τους χρήστες του.
Για να βοηθήσουν τους χρήστες να παραμείνουν ασφαλείς από αυτήν την απειλή, οι ερευνητές της ESET έχουν αναλύσει διεξοδικά αυτό το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα, εστιάζοντας στην τεχνική εγκατάστασής του, η οποία έχει ταξινομηθεί στη βάση MITRE ATT&CK με την ονομασία «Port Monitors», στις κατηγορίες τακτικών «Persistence» και «Privilege Escalation».
Καθώς στη βάση MITER ATT & CK δεν έχει καταγραφεί κάποιο υπαρκτό περιστατικό αυτής της τεχνικής, οι ερευνητές της ESET πιστεύουν ότι το DePriMon αποτελεί το πρώτο παράδειγμα της τεχνικής «Port Monitors» που περιγράφεται δημόσια.
Περισσότερες λεπτομέρειες υπάρχουν στο άρθρο «Registers as a Default Print Monitor, but is a malicious downloader. Meet DePriMon» στο WeLiveSecurity.
Εδώ και 30 χρόνια, η αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το .
| |