Et skadeligt softwareværktøj, der måske er mest kendt for at hacke RSAs SecurID-infrastruktur, bruges stadig i målrettede angreb, ifølge sikkerhedsleverandøren FireEye.
Poison Ivy er en fjernadgangstrojan (RAT), der blev frigivet for otte år siden, men stadig er begunstiget af nogle hackere, skrev FireEye i en ny rapport, der blev frigivet onsdag. Den har en velkendt Windows-grænseflade, er nem at bruge og kan logge tastetryk, stjæle filer og adgangskoder.
[Sikkerhedsekspert Roger A. Grimes tilbyder en guidet rundvisning af de seneste trusler og forklarer, hvad du kan gøre for at stoppe dem i "Fight Today's Malware", Shop Talk-video. | Hold dig opdateret med vigtige sikkerhedsproblemer med 's Security Adviser-blog og Security Central-nyhedsbrev. ]
Da Poison Ivy stadig er så udbredt, sagde FireEye, at det er sværere for sikkerhedsanalytikere at knytte brugen til en bestemt hackinggruppe.
Til sin analyse indsamlede virksomheden 194 prøver af Poison Ivy, der blev brugt i angreb fra 2008, og så på de adgangskoder, som angriberne brugte til at få adgang til RAT'erne og de anvendte kommando-og-kontrol-servere.
Tre grupper, hvoraf den ene ser ud til at være baseret i Kina, har brugt Poison Ivy i målrettede angreb, der går mindst fire år tilbage. FireEye identificerede grupperne ved hjælp af de adgangskoder, de bruger til at få adgang til Poison Ivy RAT, de har placeret på et måls computer: admin338, th3bug og menuPass.
Gruppen admin388 menes at have været aktiv allerede i januar 2008 og målrettet mod internetudbydere, teleselskaber, offentlige organisationer og forsvarssektoren, skrev FireEye.
Ofre er normalt målrettet af denne gruppe med e-mails med spydfishing, der indeholder en ondsindet Microsoft Word- eller PDF-vedhæftet fil med Poison Ivy-koden. E-mails er på engelsk, men bruger et kinesisk tegnsæt i e-mail-meddelelsens brødtekst.
Poison Ivy's tilstedeværelse kan indikere en mere kræsne interesse af en angriber, da den skal styres manuelt i realtid.
"RAT'er er meget mere personlige og kan indikere, at du har at gøre med en dedikeret trusselsaktør, der specifikt er interesseret i din organisation," skrev FireEye.
For at hjælpe organisationer med at opdage Poison Ivy udgav FireEye "Calamine", et sæt med to værktøjer designet til at afkode kryptering og finde ud af, hvad det stjæler.
Stjålet information krypteres af Poison Ivy ved hjælp af Camellia-chifferet med en 256-bit nøgle, før det sendes til en ekstern server, skrev FireEye. Krypteringsnøglen stammer fra den adgangskode, som angriberen bruger til at låse op for Poison Ivy.
Mange af angriberne bruger simpelthen standardadgangskoden "admin". Men hvis adgangskoden er ændret, kan et af Calamines værktøjer, PyCommand-scriptet, bruges til at opfange det. Et andet Calamine-værktøj kan derefter dekryptere Poison Ivy's netværkstrafik, hvilket kan give en indikation af, hvad angriberen har gjort.
”Calamine stopper muligvis ikke bestemte angribere, der bruger Poison Ivy,” advarede FireEye. "Men det kan gøre deres kriminelle bestræbelser så meget vanskeligere."
Send nyhedstip og kommentarer til [email protected]. Følg mig på Twitter: @jeremy_kirk.
