Ekspertët e Kaspersky kanë zbuluar një malware të ri që mund të synojë sistemet industriale “air-gapped”, d.m.th., të palidhur me internetin. Sulmet u kryen nga grupi Zirconium kundër disa kompanive në Evropën Lindore, duke përdorur variante të familjes FourteenHi.
Sulmi me shumë faza
Sulmet e para u zbuluan në prill. Gjatë fazës së parë, vendoset qëndrueshmëria dhe aksesi në distancë. Më pas vijon faza e shpërndarjes së malware, e cila lejon që të dhënat të vidhen nga sistemet air-gapped, duke përdorur një disk USB. Së fundi, mjete të ndryshme përdoren për të dërguar të dhënat në serverin C2 (komandë dhe kontroll).
Malware përbëhet nga katër module. Moduli kryesor mbledh informacione rreth drive dhe strukturës së sistemit të skedarëve, mbledh të dhëna, merr pamje nga ekrani dhe shpërndan ngarkesa shtesë. Moduli i dytë infekton drive e lëvizshëm duke kopjuar një ekzekutues legjitim McAfee dhe një DLL të infektuar që ngarkohet në memorie kur përdoruesi ekzekuton një skedar .LNK.
Moduli i tretë ekzekuton një skript që kopjon të dhënat në direktorinë $RECYCLE.BIN, nga e cila moduli i parë i mbledh ato. Forma e katërt, e parë në disa sulme, është një variant i formës së parë që funksionon si një lëshues i ngarkesës i ngjashëm me atë të formës së dytë. Ky i fundit vjedh skedarë, kap pamjet e ekranit dhe regjistron goditjet e tasteve (keylogging).
Malware injektohet në kujtesën e proceseve legjitime për të shmangur zbulimin. Ai funksionon pas 10 minutash dhe mbledh të gjithë skedarët që kanë shtesat e treguara në skedarin e konfigurimit. Të dhënat ruhen në arkivat RAR të cilat më pas dërgohen në serverin C2.
Discussion about this post