ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43 0 komentářů
Rubriky: Security

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně bank.

Odborníci ze společnosti Kaspersky Lab objevili backdoor v softwaru pro správu serverů využívaném stovkami velkých firem po celém světě. Pokud by došlo k jeho aktivování, útočníci by mohli prostřednictvím backdooru instalovat další škodlivé moduly nebo krást data. Společnost NetSarang, poskytovatel tohoto softwaru, již škodlivý kód odstranila a pro své zákazníky vydala aktualizaci.

ShadowPad je jedním z největších doposud známých útoků na dodavatelské řetězce. Pokud by nedošlo k jeho detekci a následnému záplatování softwaru, mohl potenciálně napadnout stovky organizací po celém světě.

V červenci 2017 oslovil Global Research and Analysis (GReAT) tým společnosti Kaspersky Lab jeden z jeho partnerů z oblasti finančnictví. Jeho bezpečnostní specialisté byli znepokojeni podezřelými požadavky DNS (domain name server). Ty pocházely ze systémů zabývajících se zpracováním finančních transakcí. Další analýza odhalila, že zdrojem těchto požadavků byl legální software pro správu serverů, který využívají stovky zákazníků z oboru finančních služeb, vzdělávání, telekomunikací, výroby, energetiky a dopravy. Nejvážnějším zjištěním byla skutečnost, že tento software neměl podle výrobce tyto požadavky vůbec zasílat.

Analýza dále ukázala, že podezřelé požadavky byly ve skutečnosti výsledkem aktivity škodlivého modulu ukrytého v nejnovější verzi legálního softwaru. Po instalaci infikované softwarové aktualizace byl modul připraven začít jednou za osm hodin vysílat DNS dotazy na specifické domény (své C&C servery). V takovém případě by dotaz mohl obsahovat základní informace o systému oběti. Pokud by útočníci označili systém za „zajímavý“, příkazový server by odpověděl a aktivoval backdoor jako celek.

Analýza ukazuje, že doposud byly tyto škodlivé moduly aktivovány v Hongkongu. Nicméně v mnoha dalších firemních systémech na celém světě by mohly být nečinné a stále představovat riziko.

V průběhu analýzy technik a nástrojů využitých útočníkyse zjistilo, že jsou některé z nich velmi podobné těm, které dříve použila známá čínsky mluvící kyberšpionážní skupina Winnti APT v malwaru PlugX. Tyto informace však nestačí k tomu, aby se mezi současným útokem a zmíněnými aktéry dalo vytvořit jednoznačné spojení.


Komentáře

RSS 

Komentujeme

Když obrázek není tím, čím se zdá být

Pavel Houser , 10. listopad 2018 06:30

Problematika falešných zpráva je dnes módní záležitostí. Následující výzkum se zaměřuje na jeden spe...

Více







RSS 

Zprávičky

Rovio zvyšuje zisk, potřebuje ale nové hry

ČTK , 18. listopad 2018 08:00

Letos v únoru cena akcií firmy klesla o 50 % pod cenu stanovenou pro primární nabídku akcií....

Více 0 komentářů

Podle Check Pointu malware těžící kryptoměny dominuje dál

Pavel Houser , 17. listopad 2018 08:00

Objevena byla rozsáhlá kampaň šířící RAT malware FlawedAmmyy....

Více 0 komentářů

Samsung Exynos 9 řady 9820 pro umělou inteligenci v mobilech

Pavel Houser , 16. listopad 2018 12:46

Jádro čtvrté generace a modem LTE Advanced Pro s rychlostí 2,0 Gb/s mají vylepšit rozšířenou a virtu...

Více 0 komentářů

Starší zprávičky

BlackBerry koupí za 1,4 miliardy USD Cylance

ČTK , 16. listopad 2018 12:40

Cylance vyvíjí produkty na bázi umělé inteligence, které mají zabránit kybernetickým útokům....

Více 0 komentářů

Uber ve čtvrtletí prohloubil ztrátu na 1,07 miliardy USD

ČTK , 16. listopad 2018 08:00

Uber zvažuje, že posune primární nabídku akcií z druhé poloviny příštího roku na první polovinu....

Více 0 komentářů

Novým generálním ředitelem Autocontu je bývalý šéf Oracle Sameš

ČTK , 15. listopad 2018 12:44

Autocont se zaměřuje na poskytování komplexních IT řešení a služeb pro firmy a státní správu....

Více 0 komentářů

Lagardeová: Centrální banky by měly vydávat digitální měny

ČTK , 15. listopad 2018 08:00

Některé centrální banky, včetně švédské, kanadské a čínské, již uvažují o emisích digitálních měn ve...

Více 0 komentářů