Ένα από τα επακόλουθα ωφέλιμα φορτία που προωθήθηκαν σε περίπου δώδεκα οργανισμούς ήταν αυτό που η Kaspersky περιέγραψε ως “σύντομη κερκόπορτα”. Έχει τη δυνατότητα να εκτελεί εντολές, να κατεβάζει αρχεία και να εκτελεί ωφέλιμα φορτία κελύφους στη μνήμη—καθιστώντας δύσκολη την ανίχνευση μολύνσεων.
Η Kaspersky είπε ότι παρατήρησε μια πιο εξελιγμένη κερκόπορτα με την ονομασία QUIC RAT εγκατεστημένη σε ένα μόνο μηχάνημα σε ένα εκπαιδευτικό ίδρυμα που βρίσκεται στη Ρωσία. Η αρχική ανάλυση έδειξε ότι μπορεί να εισάγει ωφέλιμα φορτία σε διαδικασίες notepad.exe και conhost.exe και υποστηρίζει διάφορα πρωτόκολλα επικοινωνίας C2, συμπεριλαμβανομένων των HTTP, UDP, TCP, WSS, QUIC, DNS και HTTP/3.
Οι 100 μολυσμένοι οργανισμοί βρίσκονται κυρίως στη Ρωσία, τη Βραζιλία, την Τουρκία, την Ισπανία, τη Γερμανία, τη Γαλλία, την Ιταλία και την Κίνα. Η ορατότητα της Kaspersky στην επίθεση είναι περιορισμένη επειδή βασίζεται μόνο στην τηλεμετρία που παρέχεται από τα δικά της προϊόντα.
Οι ερευνητές της Kaspersky έγραψαν:
Η ανάλυση δείχνει ότι το 10% των συστημάτων που επηρεάζονται ανήκουν σε επιχειρήσεις και οργανισμούς. Οι επιτιθέμενοι προσπάθησαν μόνο να μολύνουν τα περισσότερα από τα επηρεαζόμενα μηχανήματα με ένα ωφέλιμο φορτίο συλλογής πληροφοριών. Ωστόσο, άλλα ωφέλιμα φορτία backdoor, τα οποία είναι πιο περίπλοκα, έχουν παρατηρηθεί μόνο σε δώδεκα μηχανήματα κυβερνητικών, επιστημονικών, κατασκευαστικών και λιανικών οργανισμών που βρίσκονται στη Ρωσία, τη Λευκορωσία και την Ταϊλάνδη. Αυτή η μέθοδος ανάπτυξης της κερκόπορτας σε ένα μικρό υποσύνολο μολυσμένων μηχανών δείχνει ξεκάθαρα ότι ο εισβολέας σκόπευε να διεξαγάγει τη μόλυνση με στοχευμένο τρόπο. Ωστόσο, ο σκοπός τους – είτε πρόκειται για κατασκοπεία στον κυβερνοχώρο είτε για «κυνήγι μεγάλων θηραμάτων» – είναι προς το παρόν ασαφής.
Πρόσφατες επιθέσεις εφοδιαστικής αλυσίδας έπληξαν τα Trivi, Checkmarks και Bitwarden και περισσότερα από 150 πακέτα διαθέσιμα μέσω αποθετηρίων ανοιχτού κώδικα. Υπήρξαν τουλάχιστον έξι αξιοσημείωτες επιθέσεις τον περασμένο χρόνο.
Όποιος χρησιμοποιεί το Daemon Tools θα πρέπει να αφιερώσει χρόνο για να σαρώσει ολόκληρο το μηχάνημά του χρησιμοποιώντας αξιόπιστο λογισμικό προστασίας από ιούς. Οι χρήστες των Windows θα πρέπει επιπλέον να ελέγξουν για δείκτες συμβιβασμού που αναφέρονται στη δημοσίευση της Kaspersky. Για πιο τεχνικά προχωρημένους χρήστες, η Kaspersky συνιστά την “παρακολούθηση ύποπτων εγχύσεων κώδικα σε νόμιμες διαδικασίες συστήματος, ειδικά όταν η πηγή εκκινείται από έναν δημόσια προσβάσιμο κατάλογο όπως Temp, AppData ή Public.”
