Avast zveřejnil nové informace, které se týkají úspěšného napadení nástroje CCleaner. Neznámý útočník do kódu umístil backdoor, který po aktivaci odesílal data na řídicí servery a stahoval útočný kód. Ten byl přímo namířený na úzkou skupinu technologických a telekomunikačních firem v Japonsku, Německu, Velké Británii, USA a na Tchaj-wanu. Šlo tedy o cílený útok. Avast je v kontaktu s těmito firmami a také s policií a dalšími bezpečnostními složkami.
„Druhá fáze útoku je poměrně složitý kód, který sestává ze dvou komponent (DLL knihovny). První knihovna obsahuje hlavní část škodlivého kódu. Stejně jako první fáze útoku je silně obfuskovaná (pro ztížení manuální analýzy) a využívá řadu triků, které brání emulaci (spuštění v chráněných prostředích) a automatické analýze. Velká část kódu má za úkol odvodit adresu dalšího CnC serveru pomocí tří různých mechanismů: 1) účtu na GitHubu, 2) účtu na Wordpress a 3) DNS záznamu domény get.adxxxxxx.net (název zde byl změněn). Následně může být adresa CnC serveru kdykoliv změněna, a to odesláním zvláštního příkazu, který aktualizuje adresu pomocí protokolu DNS (udp / 53). Spolu s policií a dalšími bezpečnostními složkami pokračujeme v analýze, snažíme se získat data ze sekundárních CnC serverů a pátráme po pachatelích.“
ČLÁNKY DO MAILU