HACKING

Το Glupteba botnet αποφεύγει την ανίχνευση με ένα UEFI Bootkit

This post was originally published on this site

Το Glupteba botnet βρέθηκε να ενσωματώνει μια προηγουμένως μη τεκμηριωμένη λειτουργία UEFI bootkit στον υπολογιστικό εξοπλισμό, προσθέτοντας έτσι ένα ακόμα επίπεδο εξελιγμένης τεχνολογίας και αόρατου χαρακτήρα στο κακόβουλο λογισμικό.

Δείτε επίσης: Αυξημένη δραστηριότητα botnet τον τελευταίο μήνα

Το Glupteba botnet είναι ένα πλήρως λειτουργικό κακόβουλο πρόγραμμα που κλέβει πληροφορίες και λειτουργεί ως backdoor, ικανό να διευκολύνει παράνομη εξόρυξη κρυπτονομισμάτων και να εγκαθιστά πρόσθετους διαμεσολαβητές σε μολυσμένους υπολογιστές. Επίσης, είναι γνωστό ότι εκμεταλλεύεται την τεχνολογία της αλυσίδας των Bitcoin ως ένα αντίγραφο ασφαλείας συστήματος ελέγχου και εντολών (C2), καθιστώντας το ανθεκτικό σε προσπάθειες αποτροπής.

Ορισμένες από τις άλλες λειτουργίες του επιτρέπουν να παραδίδει επιπρόσθετα φορτία, να υποκλέπτει διαπιστευτήρια και πληροφορίες πιστωτικής κάρτας, να πραγματοποιεί απάτη με διαφημίσεις και ακόμα και να εκμεταλλεύεται δρομολογητές για να αποκτήσει πρόσβαση σε διαπιστευτήρια και απομακρυσμένη διαχείριση.

Τα τελευταία δέκα χρόνια, το modular κακόβουλο λογισμικό έχει μεταμορφωθεί σε μια εξελιγμένη απειλή που χρησιμοποιεί περίπλοκες αλυσίδες μολύνσεων πολλαπλών σταδίων για να αποφύγει την ανίχνευση από λύσεις ασφαλείας.

Μια εκστρατεία τον Νοέμβριο του 2023 παρατηρήθηκε από την εταιρεία κυβερνοασφάλειας και περιλαμβάνει τη χρήση υπηρεσιών πληρωμής ανά εγκατάσταση (PPI) όπως το Ruzki για τη διανομή του Glupteba. Τον Σεπτέμβριο του 2022, η Sekoia συνέδεσε το Ruzki με ομάδες δραστηριότητας, εκμεταλλευόμενη τον PrivateLoader ως κανάλι εξάπλωσης του επιβλαβούς λογισμικού.

Δείτε ακόμα: Οι χειριστές του KV-Botnet προσπαθούν να επανέλθουν μετά τις ενέργειες του FBI

Αυτό λαμβάνει τη μορφή κλοπής ταυτότητας, όπου το PrivateLoader παραδίδεται υπό την εμφάνιση αρχείων εγκατάστασης για ραγισμένο λογισμικό, το οποίο στη συνέχεια φορτώνει το SmokeLoader που, από τη σειρά του, εκτελεί το RedLine Stealer και το Amadey, με το τελευταίο να αποθέτει τελικά το Glupteba botnet.

ανίχνευση

Σε ένδειξη ότι το κακόβουλο λογισμικό διατηρείται ενεργό, το Glupteba botnet είναι εξοπλισμένο με ένα UEFI bootkit, με την ενσωμάτωση μιας τροποποιημένης έκδοσης ενός ανοικτού προγράμματος με την ονομασία EfiGuard, το οποίο είναι ικανό να απενεργοποιήσει το PatchGuard και το Driver Signature Enforcement (DSE) κατά την εκκίνηση.

Αξίζει να αναφερθεί ότι σε προηγούμενες εκδόσεις του κακόβουλου λογισμικού, ανακαλύφθηκε ότι “εγκαθιστά έναν πυρήνα οδηγού που χρησιμοποιείται από το bot ως rootkit και πραγματοποιεί άλλες αλλαγές που αποδυναμώνουν την ασφάλεια ενός μολυσμένου υπολογιστή.

Δείτε επίσης: Bigpanzi hackers: Το botnet τους στοχεύει Android TV boxes

Ποια είναι η λειτουργία ενός botnet;

Ένα botnet είναι ένα δίκτυο από ιδιωτικούς υπολογιστές, οι οποίοι έχουν μολυνθεί από κακόβουλο λογισμικό και ελέγχονται από έναν κεντρικό διαχειριστή, γνωστός ως botmaster. Τα botnets χρησιμοποιούνται για μια πληθώρα κακόβουλων δραστηριοτήτων, όπως η αποστολή ανεπιθύμητων μηνυμάτων, η εκτέλεση επιθέσεων αρνησης υπηρεσίας (DDoS), η κλοπή προσωπικών δεδομένων και η διανομή κακόβουλου λογισμικού.

Τα μέλη ενός botnet μπορεί να είναι εκατοντάδες ή ακόμη και εκατομμύρια, και οι υπολογιστές μπορεί να αγνοούν εντελώς ότι είναι μέρος του. Οι botmasters συχνά εκμεταλλεύονται τις ευπάθειες των λειτουργικών συστημάτων και του λογισμικού για να μολύνουν τους υπολογιστές και να τους προσθέσουν στο botnet τους. Η ανίχνευση και η απομάκρυνση ενός botnet μπορεί να είναι πολύ δύσκολη, καθώς οι botmasters χρησιμοποιούν συχνά πολύπλοκες τεχνικές για να κρύψουν την παρουσία τους.

Πηγή: thehackernews

https://www.secnews.gr/security/

%d bloggers like this: