FireEye обнаруживает, что кампании киберпреступности Gh0stRAT продолжают

Известный кибер-шпионский инструмент под названием Gh0st RAT по-прежнему используется в скрытых атаках вредоносных программ, согласно новому отчету от охранной фирмы FireEye.

FireEye, специализирующаяся на обнаружении вредоносных программ, выпустила которые он собрал у сотен своих клиентов в течение 2012 года. Он рассмотрел 12 миллионов различных сообщений о подозрительной деятельности, около 2000 из которых были классифицированы как «передовые постоянные угрозы» (APT), термин индустрии безопасности для сложных, трудно обнаруживаемых нападения, направленные на долгосрочную инфильтрацию организаций.

Большинство из этих 2000 инцидентов использовали Gh0st RAT, инструмент удаленного доступа, который, как полагают, был разработан в Китае, который позволяет злоумышленникам воровать i nformation с компьютеров жертвы. В 2009 году исследователи исследовательского проекта Information Warfare Monitor и исследовательского проекта по компьютерной безопасности и Университет Торонто сообщили об обширной кампании по кибер-шпионажу с использованием Gh0st RAT, которая нацелена на более чем 1000 компьютеров в 103 странах.

[Читать дальше] вредоносное ПО с вашего ПК с Windows]

Gh0st RAT является «важной важной частью многих типов кампаний APT, потому что это эффективный инструмент», - сказал Роб Рахвальд, старший директор FireEye по маркетинговым исследованиям.

Отчет FireEye широко рассматривает как злоумышленники извлекают информацию от жертв и контролируют их вредоносное ПО на зараженных компьютерах или активность «обратного вызова». Их данные с 2012 года показывают, что злоумышленники используют серверы управления и контроля для доставки инструкций для вредоносного ПО в 184 странах, что на 42% больше, чем в 2010 году.

Южная Корея имеет концентрацию активности обратного вызова. Серверы технологических компаний, как правило, нацелены хакерами на общение со своими зараженными машинами. «Я думаю, что тот факт, что они были традиционно одной из самых связанных стран в мире, вероятно, является еще одним поводом для этого», - сказал Рахвальд.

В отчете FireEye говорится: «В некотором смысле Южная Корея страдает от RAT [удаленных инструменты доступа]. Из данных 2012 года видно, что Южная Корея является одним из лучших пунктов назначения обратного вызова в мире и что некоторые операции обратного вызова в стране связаны с более целенаправленными атаками ».

Хакеры также вставляли похищенную информацию в файлы изображений JPEG в чтобы сделать данные более похожими на обычный трафик. Вредоносная программа также использовала сайты социальных сетей, такие как Twitter и Facebook, для размещения инструкций для зараженных компьютеров, сообщает FireEye.

Компания заметила другие изменения в поведении хакеров. Обычно серверы управления и управления были расположены в другой стране, чем жертва. Теперь они обнаруживают командную инфраструктуру в той же стране, чтобы сделать трафик нормальным.

Но для некоторых стран хакеры не беспокоились о контрольных серверах в стране цели. Канада и США имели высокий процент обратного трафика, идущего за границу. Нападавшие, возможно, не сделали этого в этих странах, потому что «они знали, что их не обнаружат», сказал Рахвальд.