T9000 trójai


2016. február 11. 21:59

CH azonosító

CH-13023

Angol cím

T9000 trojan

Felfedezés dátuma

2016.02.10.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows
Skype

Összefoglaló

A T9000 egy olyan trójai mely dokumentumokat lop, és rögzíti a Skype kommunikációt a fertőzött számítógépen.

Leírás

A kártevő a T5000 egy továbbfejlesztett változata, mely vélhetően kínai eredetű volt, és Admin@338 APT csoporthoz köthető, akik APAC kormányokat, különböző amerikai célpontokat, és emberi jogi aktivistákat támadtak.

A T9000-es adathalász leveleken keresztül érkezhet egy fertőzött RTF fájl segítségével, mely két különböző sérülékenységet használ ki a rendszerbe jutáshoz (CVE-2012-1856 és CVE-2015-1641)

A kártékony kód a sérülékenységek sikeres kihasználását követően aktiválódik, majd több shell kódot futtat le, melynek eredményeként a betöltődik a backdoor fő modulja, valamint három titkosított plugin.

A kártevő ellenőrzi az operációs rendszerre telepített biztonsági szoftver típusát, ennek függvényében személyre szabja a telepítési mechanizmust, elrejtőzve a kártevő eltávolítók elől.

A főmodul összegyűjti a felhasználói, a számítógépes és szoftver információkat, majd elküldi azokat a vezérlőszerverére.

Letölti a három másik modulját (melyeknek különböző feladatuk van), majd betölti a számítógépre.

  • Az első modul az információgyűjtésért felel: Rögzíti a videóhívásokat a hanghívásokat és a szöveges üzenetetket. Ezt a beépített Skype API segítségével tudják megtenni, melyhez azonban először hozzáférésre van szükségük. Ezt egy felugró ablakkal próbálják megoldani, melyben az explorer.exe-t kell engedélyezni, ezzel a háttérben megadja a felhasználó a hozzáférést a kártevőnek a Skype-hoz.
  • A második modul MS Office fájlokat keres csatlakoztatott meghajtókon keresztül, melyekről másolatot készít és előkészíti a bejutást.
  • A harmadik modul rögzíti a fontos tevékenységeket (pl:rendszerváltozások)

Végül a főmodul meghajtókat listáz, parancsot futtat, letölt, feltölt fájlokat, stb.

Megoldás

A Windows Update segítségevel telepítse a CVE-2012-1856 és CVE-2015-1641 sérülékenységek javítását.

Ne nyisson meg ismeretlen feladótól származó levelet, és annak csatolmányát.

A kártevő detektálásához használható IoC-ket talál az első hivatkozásban.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: researchcenter.paloaltonetworks.com
Egyéb referencia: www.heise.de
Egyéb referencia: sensorstechforum.com
Egyéb referencia: www.itproportal.com
CVE-2012-1856 - NVD CVE-2012-1856
CVE-2015-1641 - NVD CVE-2015-1641

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »