Откривен други корисни терет ЦЦлеанер Малваре

Нови извештај Цисцове Талос групе сугерише да је хакер ЦЦлеанер био софистициранији него што се у почетку мислило. Истраживачи су пронашли доказе о другом корисном оптерећењу током анализе злонамјерног софтвера који је циљао врло специфичне групе засноване на доменама.



18. септембра 2017 Извештава Пириформ да је инфраструктурна компанија дистрибуирала злонамерну верзију софтвера за чишћење датотека ЦЦлеанер око месец дана.

Компромисана је инфраструктура компаније, а корисници који су преузели верзију 5.33 ЦЦлеанер-а са веб локације или користили аутоматске исправке да би је инсталирали, добили су заражену верзију на свом систему.

Разговарали смо о методама за препознавање да ли је заражена верзија инсталирана на систем. Вероватно је најбољи показатељ, осим провере верзије ЦЦлеанер-а, провера постојања кључева регистратора под ХКЛМ СОФТВАРЕ Пириформ Агомо.



ccleaner 2nd payload

Пириформ је брзо изјавио да корисници могу решити проблем ажурирањем на ново верзија ЦЦлеанер-а без злонамерног софтвера .

Нови извештај сугерише да то можда није довољно.



Талос група је пронашла доказе да је напад био софистициранији, јер је циљао на одређену листу домена са другим корисним оптерећењем.

  • сингтел.цорп.роот
  • хтцгроуп.цорп
  • самсунг-бреда
  • самсунг
  • самсунг.сепм
  • самсунг.ск
  • јп.сони.цом
  • ам.сони.цом
  • гг.гауселманн.цом
  • вмваре.цом
  • гер.цорп.интел.цом
  • амр.цорп.интел.цом
  • нтдев.цорп.мицрософт.цом
  • цисцо.цом
  • ук.при.о2.цом
  • вф-ес.интернал.водафоне.цом
  • линксис
  • апо.епсон.нет
  • мси.цом.тв
  • инфовиев2у.дврднс.орг
  • дфв01.цорп.акамаи.цом
  • хк.гмаил.цом
  • длинк.цом
  • тест.цом

Истраживачи сугерирају да је нападач потражио интелектуално власништво на основу листе домена која припадају високо профилисаним технолошким компанијама.

Занимљиво је да наведени низ садржи Цисцов домен (цисцо.цом) заједно са другим компанијама високог профила. Ово би сугерисало веома фокусираног глумца након вредне интелектуалне својине.



Талос група је предложила да се обнови рачунарски систем користећи резервну копију која је створена пре инфекције. Нови докази то појачавају, а истраживачи снажно сугерирају да можда није довољно једноставно ажурирање ЦЦлеанер-а да бисте се решили злонамјерног софтвера.

Ови налази такође подржавају и појачавају нашу претходну препоруку да они који су погођени овим нападом ланца снабдевања не треба једноставно уклањати погођену верзију ЦЦлеанер-а или ажурирати на најновију верзију, већ треба да се обнове из резервних копија или реимаге система како би се обезбедило да у потпуности уклоне не само бацкдооред верзију ЦЦлеанер-а, али и било који други злонамерни софтвер који може бити резидент система.



Инсталатер фазе 2 је ГееСетуп_к86.длл. Провјерава верзију оперативног система и на систем провјерава 32-битну или 64-битну верзију тројана.

32-битни тројански систем је ТСМСИСрв.длл, 64-битни тројански систем је ЕФАЦли64.длл.

Идентификовање корисног оптерећења фазе 2

Следеће информације помажу да се утврди да ли је оптерећење оптерећења фазе 2 постављено у систем.

Кључеви регистра:

  • ХКЛМ Софтваре Мицрософт Виндовс НТ ЦуррентВерсион ВбемПерф 001
  • ХКЛМ Софтваре Мицрософт Виндовс НТ ЦуррентВерсион ВбемПерф 002
  • ХКЛМ Софтваре Мицрософт Виндовс НТ ЦуррентВерсион ВбемПерф 003
  • ХКЛМ Софтваре Мицрософт Виндовс НТ ЦуррентВерсион ВбемПерф 004
  • ХКЛМ Софтваре Мицрософт Виндовс НТ ЦуррентВерсион ВбемПерф ХБП

Фајлови:

  • ГееСетуп_к86.длл (Хасх: дц9б5е8аа6ец86дб8аф0а7аа897ца61дб3е5ф3д2е0942е319074дб1ааццфдц83)
  • ЕФАЦли64.длл (Хасх: 128аца58бе325174ф0220бд7ца6030е4е206б4378796е82да460055733бб6ф4ф)
  • ТСМСИСрв.длл (Хасх: 07фб252д2е853а9б1б32ф30еде411ф2ефбб9ф01е4а7782дб5еацф3ф55цф34902)
  • ДЛЛ у регистру: ф0д1ф88ц59а005312фаад902528д60ацбф9цд5а7б36093дб8ца811ф763е1292а
  • Ступањ 2 Корисни терет: дц9б5е8аа6ец86дб8аф0а7аа897ца61дб3е5ф3д2е0942е319074дб1ааццфдц83