want to advertise here $100 / views

May 5, 2015

Penjahat cyber meminjam dari pedoman APT dalam menyerang vendor PoS

crime

Mereka menyamar titik pemilik sistem penjualan yang membutuhkan bantuan teknis dalam serangan phishing tombak

Penjahat dunia maya semakin menyalin kelompok spionase cyber dalam menggunakan serangan yang ditargetkan terhadap korban-korban mereka bukan skala besar, kampanye infeksi sembarangan.

Perubahan taktik telah diamati di antara mereka yang memulai serangan, serta orang-orang yang membuat dan menjual alat serangan di pasar bawah tanah.

Contoh terbaru dari perilaku seperti terlihat dalam serangan cyber kriminal terhadap vendor sistem titik penjualan yang peneliti dari RSA didokumentasikan pekan lalu.

Para penyerang mengirim email ke vendor tertentu meniru usaha kecil seperti restoran. Teknik ini, yang dikenal sebagai tombak-phishing, biasanya terkait dengan ancaman terus-menerus maju (APTs) - sangat bertarget, serangan disesuaikan yang tujuannya biasanya jangka panjang spionase cyber.

"Saya mengirim email Anda karena tidak ada dari perusahaan Anda kembali panggilan saya," salah satu email berbahaya dikirim ke vendor Eropa PoS berbunyi. "Saya memiliki masalah dengan dua terminal saya, mendapatkan layar biru acak kematian. Tolong beri saya panggilan. Saya telah terpasang kartu nama saya!"

Lampiran adalah dokumen Word berbahaya yang mencoba untuk mengeksploitasi dua kerentanan Microsoft Office - CVE-2014-1761 dan CVE-2012-0158, para peneliti RSA mengatakan dalam sebuah posting blog . Eksploitasi yang dikaburkan untuk menghindari deteksi antivirus dengan teknik yang belum terlihat sebelumnya, kata mereka.

Menurut peneliti dari FireEye, yang juga menganalisis serangan, mengeksploitasi payload adalah Trojan komputer terkenal dikenal sebagai Vawtrak yang dapat mencuri password dan sertifikat digital; login stroke kunci; mengambil screen shot; dan memungkinkan akses remote desktop ke sistem yang terinfeksi.

Mengorbankan komputer dan jaringan dari vendor PoS dapat membuktikan sangat berharga bagi penyerang, karena mereka dapat menggunakan akses tersebut untuk mencuri skema, konfigurasi produk, daftar pelanggan dan, yang lebih penting, pemeliharaan atau kredensial dukungan jarak jauh.

Informasi ini bisa membantu mereka kompromi terminal PoS yang vendor juga menawarkan dukungan teknis. Bahkan, kedua peneliti RSA dan FireEye menemukan hubungan yang kuat antara infrastruktur serangan ini dan infeksi baru-baru ini Poseidon, program malware yang dirancang untuk mencuri data kartu pembayaran dari memori terminal PoS.

Aspek lain yang menarik dari kampanye tombak-phishing menargetkan POS vendor adalah penggunaan penyerang 'dari dokumen berbasis mengeksploitasi kit baru yang disebut Microsoft Word Intruder (MWI), para peneliti FireEye Senin dalam sebuah posting blog.

Mengeksploitasi kit adalah alat serangan yang bundel beberapa eksploitasi. Mereka dijual di pasar bawah tanah, biasanya pada model berbasis langganan, dan sebagian besar dari mereka yang digunakan untuk memulai serangan massa melalui website dikompromikan atau iklan berbahaya. Tapi tidak MWI tampaknya.

"distributor MWI, yang juga penulis, memasarkan memanfaatkan kit sebagai alat APT - mampu mengarahkan serangan pada perusahaan individu atau spesifik - dan pelanggan telah memperingatkan ia akan mencabut izin dari siapa pun tertangkap menggunakan alat spam. "

Ini adalah pergeseran dari serangan cyber tradisional kriminal di mana tujuannya adalah untuk berkompromi dengan banyak korban mungkin, terlepas dari siapa mereka atau apa yang mereka lakukan.

Sudah jelas bahwa penjahat cyber saat ini terlibat dalam kedua kampanye sembarangan dan serangan yang ditargetkan, kata para peneliti FireEye. "Kombinasi dari gangguan ditargetkan dengan muatan banyak digunakan dapat membuat sulit untuk monitor keamanan jaringan untuk menilai tingkat risiko yang terkait dengan ancaman."

Artikel Terkait

0komentar:

Post a Comment