Iklan IT
Jumat, 27 Juli 2012
Para peneliti di Seculert telah menemukan apa yang bisa menjadi bukti hubungan antara malware Mahdi dan malware Api
Meskipun tidak ada hubungan yang kuat telah ditemukan antara Flame dan kampanye Mahdi, petunjuk kecil mungkin telah digali dalam kode, menurut Seculert,
"Untuk setiap korban, malware Mahdi memberikan pengenal yang unik, yang digunakan oleh server K & C untuk mengidentifikasi entitas yang ditargetkan itu berkomunikasi dengan," menurut Seculert. "Bagian dari identifier unik adalah awalan, yang digunakan untuk membantu menyebarkan entitas yang ditargetkan antara anggota kelompok menyerang dan memungkinkan mereka untuk mengidentifikasi dan mengelola sebagian besar entitas yang ditargetkan."
Salah satu prefiks digunakan oleh organisasi yang ditargetkan untuk berkomunikasi dengan tiga dari empat (C & C) server perintah-dan-kontrol adalah "Flame."
"Korban pertama ditargetkan dengan awalan 'Flame mulai berkomunikasi dengan server C & C pada awal Juni, tepat setelah Kaspersky Lab penemuan Api go public," kata perusahaan. ".? Kebetulan Mungkin Hal lain yang menarik untuk dicatat adalah bahwa beberapa akhir prefiks dengan" coffinet "Ini termasuk:. Chabehar, Iranshahr, Khash, Nikshahr, Saravan, Zabol, semuanya adalah kota dan kabupaten yang terletak di wilayah tenggara dari Iran. "
Malware, yang juga dieja "Madi," tampaknya telah memasuki tahap yang lebih canggih. Menurut Kaspersky Lab, sebuah varian baru dari malware telah dinodai dengan kemampuan tambahan. Versi baru, yang Kaspersky peneliti Nicolas Brulez dilaporkan, dikompilasi 25 Juli.
"Setelah shutdown dari domain perintah-dan-kontrol Madi pekan lalu, kami pikir operasi sekarang mati," blog dia. "Sepertinya kami salah."
Varian baru ini memiliki kemampuan untuk memonitor percakapan Jabber serta VKontakte jaringan sosial Rusia. Selain itu, mencari orang yang mengunjungi halaman yang berisi "USA" dan "GOV" dalam judul mereka, tulisnya. Kata kunci yang ditargetkan lainnya termasuk "MSN Messenger", "Facebook" dan "Gmail."
"Dalam kasus tersebut, malware membuat screen shot dan upload mereka ke C2 [perintah-dan-kontrol server]," jelasnya.
"Mungkin perubahan yang paling penting," lanjutnya, "adalah pencuri informasi tidak lagi menunggu" perintah "dari C2-bukan, itu hanya upload semua data curian ke server segera.
Upload varian data ke server perintah-dan-kontrol yang terletak di Montreal, Kanada, katanya. Lain Mahdi perintah-dan-kontrol server juga telah terletak di Kanada dan Teheran.
Sebelumnya, para peneliti di Seculert dan Kaspersky digunakan sinkhole untuk mengidentifikasi 800 korban yang telah dikomunikasikan dengan empat perintah-dan-kontrol server. Mayoritas korban adalah di Iran. Banyak korban yang ditemukan menjadi bisnis orang yang bekerja pada Iran dan Israel proyek infrastruktur kritis, lembaga keuangan Israel, Timur Tengah mahasiswa teknik atau berbagai instansi pemerintah di wilayah tersebut. Semua, mencapai gigabyte beberapa data yang diyakini telah upload dari komputer korban, peneliti mengatakan.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar