📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Hackers trojanizaram instaladores do software DAEMON Tools e, desde 8 de abril, entregaram um backdoor para milhares de sistemas que baixaram o produto do site oficial.
O ataque à cadeia de abastecimento levou a milhares de infecções em mais de 100 países. No entanto, as cargas úteis do segundo estágio foram implantadas apenas em uma dúzia de máquinas, indicando um ataque direcionado direcionado a alvos de alto valor.
Entre as vítimas que recebem cargas úteis da próxima fase estão organizações retalhistas, científicas, governamentais e industriais na Rússia, Bielorrússia e Tailândia.
Um relatório hoje da empresa de segurança cibernética Kaspersky observa que o ataque está em andamento e que o software trojanizado inclui versões do DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, especificamente os binários DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe.
DAEMON Tools é um utilitário do Windows que permite montar arquivos de imagem de disco como unidades virtuais. O software era extremamente popular na década de 2000, especialmente entre jogadores e usuários avançados, mas hoje sua implantação está limitada a ambientes onde o gerenciamento de unidades virtuais é necessário.
A partir de hoje, a Kaspersky afirma que o ataque está em andamento.
Depois que usuários desavisados baixam e executam os instaladores trojanizados assinados digitalmente, eles acionam o código malicioso incorporado nos binários comprometidos. A carga estabelece persistência e ativa um backdoor na inicialização do sistema.
O servidor pode responder com comandos que instruem o sistema a baixar e executar cargas adicionais.
O malware de primeiro estágio é um ladrão de informações básicas que coleta dados do sistema, como nome do host, endereço MAC, processos em execução, software instalado e localidade do sistema, e os envia aos invasores para criação de perfil da vítima.
Carga útil básica do ladrão de informaçõesFonte: Kaspersky
Com base nos resultados, alguns sistemas recebem um segundo estágio, que é um backdoor leve que pode executar comandos, baixar arquivos e executar código diretamente na memória.
Trecho de código do backdoorFonte: Kaspersky
Em pelo menos um caso direcionado a um instituto educacional russo, a Kaspersky observou a implantação de uma variedade de malware mais avançada chamada QUIC RAT, que suporta múltiplos protocolos de comunicação e pode injetar código malicioso em processos legítimos.
BleepingComputer contatou a DAEMON Tools com um pedido de comentário sobre o ataque à cadeia de suprimentos, mas não recebemos resposta até a publicação.
A Kaspersky descreve o ataque à cadeia de fornecimento do DAEMON Tools como um compromisso suficientemente sofisticado que escapou à detecção durante quase um mês.
“Dada a alta complexidade do ataque, é fundamental que as organizações examinem cuidadosamente as máquinas que tinham o DAEMON Tools instalado, em busca de atividades anormais relacionadas à segurança cibernética que ocorreram em ou após 8 de abril”, afirmam os pesquisadores.
Embora a Kaspersky não atribua o ataque a um ator de ameaça específico, com base nas strings encontradas na carga útil do primeiro estágio, os pesquisadores acreditam que o invasor fala chinês.
Desde o início do ano, ataques à cadeia de fornecimento de software foram detectados quase todos os meses: eScan em janeiro, Notepad++ em fevereiro, CPU-Z em abril e DAEMON Tools este mês.
Ataques semelhantes direcionados a repositórios de código, pacotes e extensões têm sido ainda mais prevalentes este ano, com as campanhas Trivy, Checkmarx e Glassworm entre as mais proeminentes.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O ataque à cadeia de abastecimento levou a milhares de infecções em mais de 100 países. No entanto, as cargas úteis do segundo estágio foram implantadas apenas em uma dúzia de máquinas, indicando um ataque direcionado direcionado a alvos de alto valor.
Entre as vítimas que recebem cargas úteis da próxima fase estão organizações retalhistas, científicas, governamentais e industriais na Rússia, Bielorrússia e Tailândia.
Um relatório hoje da empresa de segurança cibernética Kaspersky observa que o ataque está em andamento e que o software trojanizado inclui versões do DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, especificamente os binários DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe.
DAEMON Tools é um utilitário do Windows que permite montar arquivos de imagem de disco como unidades virtuais. O software era extremamente popular na década de 2000, especialmente entre jogadores e usuários avançados, mas hoje sua implantação está limitada a ambientes onde o gerenciamento de unidades virtuais é necessário.
A partir de hoje, a Kaspersky afirma que o ataque está em andamento.
Depois que usuários desavisados baixam e executam os instaladores trojanizados assinados digitalmente, eles acionam o código malicioso incorporado nos binários comprometidos. A carga estabelece persistência e ativa um backdoor na inicialização do sistema.
O servidor pode responder com comandos que instruem o sistema a baixar e executar cargas adicionais.
O malware de primeiro estágio é um ladrão de informações básicas que coleta dados do sistema, como nome do host, endereço MAC, processos em execução, software instalado e localidade do sistema, e os envia aos invasores para criação de perfil da vítima.
Carga útil básica do ladrão de informaçõesFonte: Kaspersky
Com base nos resultados, alguns sistemas recebem um segundo estágio, que é um backdoor leve que pode executar comandos, baixar arquivos e executar código diretamente na memória.
Trecho de código do backdoorFonte: Kaspersky
Em pelo menos um caso direcionado a um instituto educacional russo, a Kaspersky observou a implantação de uma variedade de malware mais avançada chamada QUIC RAT, que suporta múltiplos protocolos de comunicação e pode injetar código malicioso em processos legítimos.
BleepingComputer contatou a DAEMON Tools com um pedido de comentário sobre o ataque à cadeia de suprimentos, mas não recebemos resposta até a publicação.
A Kaspersky descreve o ataque à cadeia de fornecimento do DAEMON Tools como um compromisso suficientemente sofisticado que escapou à detecção durante quase um mês.
“Dada a alta complexidade do ataque, é fundamental que as organizações examinem cuidadosamente as máquinas que tinham o DAEMON Tools instalado, em busca de atividades anormais relacionadas à segurança cibernética que ocorreram em ou após 8 de abril”, afirmam os pesquisadores.
Embora a Kaspersky não atribua o ataque a um ator de ameaça específico, com base nas strings encontradas na carga útil do primeiro estágio, os pesquisadores acreditam que o invasor fala chinês.
Desde o início do ano, ataques à cadeia de fornecimento de software foram detectados quase todos os meses: eScan em janeiro, Notepad++ em fevereiro, CPU-Z em abril e DAEMON Tools este mês.
Ataques semelhantes direcionados a repositórios de código, pacotes e extensões têm sido ainda mais prevalentes este ano, com as campanhas Trivy, Checkmarx e Glassworm entre as mais proeminentes.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #daemon #tools #trojanizado #em #ataque #à #cadeia #de #suprimentos #para #implantar #backdoor
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário