Οι χρήστες της Microsoft έχουν κάθε δικαίωμα να θεωρούν ότι δέχονται συνεχή επίθεση από hackers. Μετά την πρόσφατη παγκόσμια επίθεση στο SharePoint, την επιβεβαίωση του παρακάμματος ασφαλείας FileFix στα Windows και την κριτική προειδοποίηση του FBI να ενεργοποιήσουν το 2FA λόγω της απειλής του ransomware Interlock, τώρα οι χρήστες των Windows λαμβάνουν άλλη μία προειδοποίηση για απειλή που κρύβεται σε κοινή θέα και χρησιμοποιεί αρχεία εικόνας JPEG για επίθεση. Δείτε τι πρέπει να ξέρετε για το απομακρυσμένο trojan πρόσβασης RoKRAT της APT37.
Οι χρήστες Windows προειδοποιούνται καθώς το Microsoft Paint και οι εικόνες JPEG χρησιμοποιούνται στις τελευταίες επιθέσεις hacking
Όταν σκέφτεστε εξελιγμένες επιθέσεις hacking, πιθανόν το MS Paint και η χρήση απλών εικόνων JPEG να μην σας έρχονται στο μυαλό. Κι όμως, μια κρίσιμη προειδοποίηση εκδόθηκε καθώς μια προχωρημένη ομάδα απειλών, γνωστή ως Reaper ή επίσημα APT37, χρησιμοποιεί αυτά ακριβώς τα εργαλεία για να διανείμει ένα ιδιαίτερα επικίνδυνο απομακρυσμένο trojan πρόσβασης με την ονομασία RoKRAT. Ίσως έχετε συνηθίσει να διαβάζετε για εικόνες που κλέβονται από hackers, αλλά εδώ οι εικόνες χρησιμοποιούνται ως βασικό μέρος της επίθεσης, όπως προειδοποίησαν οι ερευνητές ασφαλείας του Genians Security Center.
Η τελευταία αναφορά επίθεσης RoKRAT αποκάλυψε πώς οι hackers της APT37 χρησιμοποιούν στεγανογραφία για να αποκρύψουν κώδικα κακόβουλου λογισμικού, ο οποίος στη συνέχεια εισάγεται στη διαδικασία του MS Paint κατά τη διάρκεια των κυβερνοεπιθέσεων στα Microsoft Windows. Γιατί το κάνουν αυτό; Γιατί καθιστά τον εντοπισμό, και συνεπώς την πρόληψη, πολύ πιο δύσκολη.
Η APT37 «χρησιμοποιεί μια μέθοδο έγχυσης κρυπτογραφημένου shellcode δύο σταδίων για να δυσχεράνει την ανάλυση», προειδοποίησαν οι ερευνητές, με λήψεις εικόνων ως μέρος της επίθεσης. Η αναφορά ανέφερε ότι οι αναλυτές κακόβουλου λογισμικού παρατήρησαν πως «το module RoKRAT είναι ενσωματωμένο στη μορφή εικόνας JPEG».
Το module της επίθεσης RoKRAT ήταν κρυμμένο, όπως δήλωσαν οι ερευνητές, σε εικόνες με την ονομασία Father.jpg, που λήφθηκαν από έναν λογαριασμό Dropbox. Υπήρχαν δύο φωτογραφίες ενός άνδρα, εκ των οποίων η ακίνδυνη εκδοχή μπορεί να προβληθεί στην ίδια την αναφορά, αλλά «η υποκείμενη δομή του κακόβουλου λογισμικού παρέμεινε η ίδια».
Τι είναι η στεγανογραφία;
Η στεγανογραφία, από την ελληνική λέξη «στεγανογραφία», που συνδυάζει τις λέξεις κρυφή και γραφή, είναι ακριβώς αυτό: η «τέχνη» της απόκρυψης πληροφοριών μέσα σε ένα διαφορετικό μέσο ώστε να μην είναι άμεσα αντιληπτές ακόμη και από έμπειρους παρατηρητές.
Στον κόσμο της κυβερνοασφάλειας, η στεγανογραφία εμφανίζεται πιο συχνά –ή και όχι, φυσικά– ως κακόβουλος κώδικας κρυμμένος μέσα σε μια φαινομενικά ακίνδυνη εικόνα. Αυτή δεν είναι μια νέα τεχνική. Νιώθω μια εξομολόγηση να έρχεται. Πριν από 25 χρόνια, κάποιος που έμοιαζε πολύ με εμένα χρησιμοποίησε ακριβώς αυτήν την τεχνική για να καταγράψει πληκτρολογήσεις και να τις κρύψει σε αρχείο εικόνας για μεταγενέστερη εξαγωγή.
Οι hackers γνωρίζουν και χρησιμοποιούν τη στεγανογραφία εδώ και καιρό. Αυτό όμως δεν την καθιστά ξεπερασμένη ή εύκολη στον εντοπισμό όταν ψάχνει κανείς για κακόβουλο κώδικα. Και αυτός, αγαπητέ αναγνώστη, είναι ο λόγος που οι επιτιθέμενοι της APT37 την χρησιμοποιούν στις τελευταίες καμπάνιες RoKRAT.
«Όταν shellcode εγχέεται στη διαδικασία mspaint.exe για να πραγματοποιήσει fileless επίθεση», προειδοποίησαν οι ερευνητές, «ο εντοπισμός μέσω λύσεων ασφαλείας που βασίζονται σε υπογραφές ή μοτίβα μπορεί να είναι δύσκολος». Ωστόσο, μια ώριμη λύση Endpoint Detection and Response μπορεί να εντοπίσει «εξωτερικές επικοινωνίες που ξεκινούν μέσω shellcode και του API του Dropbox», το οποίο θα σταματούσε γρήγορα την επίθεση στα Microsoft Windows.
Για τους απλούς χρήστες που δεν έχουν πρόσβαση σε τέτοια εργαλεία επιχείρησης, υπάρχει μια άλλη μέθοδος αποτροπής: προσέχετε τις τεχνικές phishing που χρησιμοποιούνται αρχικά για τη διανομή του κακόβουλου λογισμικού.
Αυτές περιλαμβάνουν συμπιεσμένα αρχεία που περιέχουν συνδέσμους συντόμευσης Windows. Μπορείτε να διαβάσετε σχετικά με την αποτροπή επιθέσεων LNK της Microsoft εδώ. Έχω επικοινωνήσει με τη Microsoft για δήλωση σχετικά με την τελευταία καμπάνια της APT37. Εν τω μεταξύ, ένας εκπρόσωπος δήλωσε προηγουμένως ότι:
«Τα Windows αναγνωρίζουν τα αρχεία συντόμευσης LNK ως δυνητικά επικίνδυνο τύπο αρχείου, που σημαίνει ότι όταν ένας χρήστης προσπαθήσει να ανοίξει κάποιο που έχει ληφθεί από το διαδίκτυο, ενεργοποιείται αυτόματα προειδοποίηση ασφαλείας. Αυτή η προειδοποίηση, πολύ σωστά, συμβουλεύει τον χρήστη να μην ανοίγει αρχεία από άγνωστες πηγές. Συνιστούμε έντονα να δίνετε προσοχή σε αυτήν την προειδοποίηση».
Χρησιμοποιήστε το Microsoft Defender For Endpoint για προστασία από επιθέσεις RoKRAT, λέει η Microsoft
«Το Microsoft Defender for Endpoint παρέχει ανίχνευση και προστασία για αυτού του τύπου κακόβουλο λογισμικό», δήλωσε εκπρόσωπος της Microsoft σε δήλωση που παρασχέθηκε μέσω email. «Οι πελάτες που χρησιμοποιούν αυτόματες ενημερώσεις δεν χρειάζεται να λάβουν πρόσθετη ενέργεια και θα είναι προστατευμένοι», συνέχισε ο εκπρόσωπος, καταλήγοντας ότι η Microsoft συνεχίζει να «ενθαρρύνει τους πελάτες να ενεργοποιούν τις αυτόματες ενημερώσεις για να διασφαλίζουν ότι προστατεύονται».