image

Homeland Security waarschuwt voor Zebrocy-backdoor en ComRAT

vrijdag 30 oktober 2020, 09:47 door Redactie, 0 reacties

Het Amerikaanse ministerie van Homeland Security heeft een waarschuwing afgegeven voor twee malware-exemplaren genaamd ComRAT en Zebrocy. De ComRAT-malware wordt volgens de FBI door een Russische spionagegroep gebruikt om netwerken mee aan te vallen.

ComRAT is een PowerShell-script dat dll-bestanden laadt en gebruikt voor communicatie. Zo wordt de dll-communicatiemodule in de browser van het slachtoffer geïnjecteerd. Daarbij maakt de malware gebruik van de Gmail-webinterface om opdrachten van de aanvallers te ontvangen en data te exfiltreren.

De beschrijving van de ComRAT-malware bevat ook Indicators of Compromise (IOC's) waarmee organisaties kunnen vaststellen of een specifieke dreiging, zoals een bepaald malware-exemplaar, op hun systemen of binnen hun netwerken aanwezig is of was. Het gaat onder andere om de kwaadaardige PowerShell-scripts en gebruikte dll-bestanden en domeinnamen.

Zebrocy is een backdoor die volgens het ministerie van Homeland Security door een "geraffineerde cyberactor" wordt ingezet. Via de malware kunnen aanvallers op afstand commando's op het besmette systeem uitvoeren en informatie verzamelen. Het gaat dan om gebruikers- en systeemnaam en tijdstip van besmetting. Ook kan de malware screenshots maken, bestanden aanpassen en verwijderen, taken aanmaken en via cmd.exe commando's uitvoeren.

Om besmettingen met de malware te voorkomen krijgen organisaties verschillende adviezen. Het gaat onder andere om het monitoren van het browsegedrag van gebruikers, het blokkeren van sites met "ongunstige content", het beperken van de mogelijkheid van gebruikers om zelf software te installeren, het niet zomaar toevoegen van gebruikers aan de lokale systeembeheerdersgroep, het scannen van verdachte e-mailbijlagen en dan met name dat het bestandstype echte overeenkomt met de file header, het installeren van beveiligingsupdates en het instellen van een personal firewall die ongevraagde verbindingen blokkeert.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.