"Attor má modulární architekturu. Skládá se z dispečera a dynamicky nahrávaných pluginů, které se při volání základních Windows API funkcí spoléhají na zmíněného dispečera, tzn. že je nevolají přímo a zametají tak svoji stopu před bezpečnostním softwarem. Tyto pluginy se doručují do kompromitovaného počítače v podobě zašifrovaných DLL souborů. K jejich odšifrování dochází pouze v operační paměti. Bez přístupu k dispečerskému modulu je tak nemožné získat ostatní pluginy a rozšifrovat je," popisuje Zuzana Hromcová, analytička ESET, která hrozbu zkoumala.
Attor cílí na východoevropské vlády, diplomaty a uživatele, kteří dbají na ochranu svých dat. Šíří se prostřednictvím ruských sociálních sítí.
Attor napadá pouze specifické procesy - mimo jiné jde o aplikace spojené s ruskými sociálními sítěmi, některými šifrovacími nástroji nebo digitálními podpisy, VPN službou MHA, šifrováním e-mailových služeb Hushmail a The Bat! nebo také nástrojem na šifrování disku TrueCrypt.
Způsob, jakým Attor určí verzi TrueCrypt, je také unikátní. Využívá specifické IO kontrolní kódy, které komunikují přímo TrueCrypt driverem. To dokazuje, že autor malware musí rozumět open-source kódu aplikace TrueCrypt. Podobná technika nebyla dosud pravděpodobně zdokumentována.
Mezi funkcionalitami, které pluginy Attoru implementují, vyčnívají svou neobvyklostí dvě - síťová komunikace a vytváření otisků mobilního zařízení. Pro zachování anonymity a utajení své komunikace s C&C serverem používá malware protokol Tor: Onion Service Protocol.
Infrastruktura Attoru pro C&C komunikaci zahrnuje 4 komponenty:
Díky tomuto mechanismu je nemožné analyzovat komunikaci Attoru bez všech kousků skládačky.
Nejzajímavější plugin z arzenálu Attoru sbírá informace o připojeném modemu či telefonu s modemem, připojených discích a rovněž informace o souborech, které se na nich nacházejí.
Nezajímají ho soubory samotné, ale pouze metadata zařízení. Podle analytiků z ESET je tak jeho primárním cílem vytváření otisků GSM zařízení připojených přes sériový port.
Attor k vytváření otisků využívá takzvané AT příkazy. Jde o povely, které slouží ke komunikaci se zařízením. V tomto případě se jedná o infromace v podobě identifikátorů typu IMSI, IMEI, MSISDN a dalších.
AT příkazy byly původně vyvinuty v 80. letech ke kontrole modemu a dodnes se používají i v moderních smartphonech - to je poměrně málo známá věc.
Může existovat řada důvodů, proč Attor využívá právě AT příkazy. Nejpravděpodobnější z nich je budoucí cílení na modemy a starší telefony, které jsou využívány v infrastrukturách institucí, na něž Attor primárně míří.
Otisk zařízení může sloužit jako základ pro další krádeže dat. Pokud útočníci zjistí typ připojeného zařízení, mohou vytvořit a nasadit optimalizovaný plugin, který by byl schopen pomocí AT příkazů ukrást z tohoto zařízení data a provést v něm změny, včetně změn firmwaru.
Článek ESET software spol. s r. o. ze dne 24. října 2019 - čtvrtek
Bankovní malware cílí na české uživatele
Falešné investiční weby lákají na pohádkové zisky
Spyware útočící na hesla je v Česku dlouhodobě nejvážnější hrozbou
Vyděračský phishing je na vzestupu
HPC klastry ohrožuje malware Kobalos
ESET letos očekává narůst útoků na cloudové služby, hesla a osobní údaje
První počítačové viry byly ukázkou dovedností programátorů
Vánocům dominovaly útoky na hesla uložená v prohlížečích
Triky podvodníků cílí na důvěřivé investory
Bezpečnostní software pro Windows od ESETu má další AV-TEST ocenění
Češi a kyberbezpečnost v praxi
ESET potvrzuje pozici předního hráče mezi dodavateli řešení ochrany firemních koncových bodů
Hoax a phishing dominují - cílí na firmy a home office
Studenti během distanční výuky často podceňují bezpečnostní rizika
Pokročilá preventivní ochrana pro e-mail v cloudu a úložiště Microsoft 365
Lepší ochrana před malware pro domácí uživatele s Windows
Malware ATP skupina XDSpy zneužívá strach z koronaviru
Nová verze ESET Mobile Security pro Android
Malware KryptoCibule cílí na těžbu a krádež kryptoměn
Útoky na hesla jsou v Česku dlouhodobě nejvážnějším rizikem
Jak na bezpečné on-line bankovnictví o dovolené
HR české pobočky ESETu vede Marcela Pekníková
Hlídací aplikace často šmírují uživatele mobilních zařízení
ESET vyniká věrností českých zákazníků a cílí na korporátní klientelu
Detekce a řešení neobvyklého chování a narušení zabezpečení koncových bodů v síti
Lidé z domova často pracují bez zajištěného IT vybavení
Útočníci využívají ke špionáži soukromých subjektů backdoor Mikroceen
Dobré heslo je základním prvkem ochrany dat
COVID-19 je aktuálním tématem pro šíření malwaru
Podvodné e-shopy s rouškami se snaží získat osobní data uživatelů
ESET rozšiřuje ochranu firem o Endpoint Antivirus pro Linux
Jak nakupovat online bezpečně v napjaté době epidemie koronaviru
Podvodné emaily zneužívají obav z aktuální bezpečnostní situace
Zranitelnost KR00K postihuje nejběžnější typy WiFi čipů
Scareware jako podvodný antivir láká z uživatelů peníze
Útoky na hesla z prohlížečů jsou pro české uživatele největším rizikem
Vícefaktorové ověřování přístupu do sítě s podporou biometrického přihlašování
Podvodné antiviry pro Android vás vyděsí a připraví o peníze
Produkty ESET operační systém Windows 7 dále podporují
Vývoj malware v Česku za rok 2019
Pozor na trojské koně v RAR připojených souborech e-mailů
Downloader DePriMon překvapuje netradičními technikami infekce
Nedostatek financí a času brzdí zajištění kybernetické bezpečnosti na školách
Plné šifrování disku na koncových stanicích s podporou vzdálené správy
Pozor na falešný antivir pro Android
ESET pomáhá chránit aplikační obchod Google Play před malware
Edice 2020 bezpečnostních produktů ESET pro domácí uživatele
Češi podceňují aktualizace svých elektronických zařízení
Spyware Attor cílí na diplomatické mise a vládní instituce