Poison Ivy Trojan utilizzato negli attacchi RSA SecurID ancora popolare

Uno strumento software dannoso forse più famoso utilizzato per hackerare l'infrastruttura SecurID di RSA viene ancora utilizzato negli attacchi mirati, secondo il fornitore di sicurezza FireEye.

Poison Ivy è un Trojan ad accesso remoto (RAT) che è stato rilasciato otto anni fa ma è ancora favorito da alcuni hacker, ha scritto FireEye in un nuovo rapporto pubblicato mercoledì. Ha un'interfaccia Windows familiare, è facile da usare e può registrare sequenze di tasti, rubare file e password.

[L'esperto di sicurezza Roger A. Grimes offre un tour guidato delle ultime minacce e spiega cosa puoi fare per fermarle nel video di "Fight Today's Malware", Shop Talk. | Tieniti aggiornato sui principali problemi di sicurezza con il blog di Security Adviser di e la newsletter di Security Central. ]

Poiché Poison Ivy è ancora ampiamente utilizzato, FireEye ha affermato che è più difficile per gli analisti della sicurezza collegare il suo utilizzo a uno specifico gruppo di hacker.

Per la sua analisi, l'azienda ha raccolto 194 campioni di Poison Ivy utilizzati negli attacchi risalenti al 2008, esaminando le password utilizzate dagli aggressori per accedere ai RAT e ai server di comando e controllo utilizzati.

Tre gruppi, uno dei quali sembra avere sede in Cina, hanno utilizzato Poison Ivy in attacchi mirati da almeno quattro anni. FireEye ha identificato i gruppi in base alle password che usano per accedere a Poison Ivy RAT che hanno posizionato sul computer di un bersaglio: admin338, th3bug e menuPass.

Si ritiene che il gruppo admin388 sia stato attivo già nel gennaio 2008, prendendo di mira gli ISP, le società di telecomunicazioni, le organizzazioni governative e il settore della difesa, ha scritto FireEye.

Le vittime sono solitamente prese di mira da quel gruppo con e-mail di spear-phishing, che contengono un allegato Microsoft Word o PDF dannoso con il codice Poison Ivy. Le e-mail sono in inglese ma utilizzano un set di caratteri cinesi nel corpo del messaggio e-mail.

La presenza di Poison Ivy può indicare un interesse più esigente da parte di un aggressore, poiché deve essere controllato manualmente in tempo reale.

"I RAT sono molto più personali e possono indicare che hai a che fare con un attore di minacce dedicato che è interessato in modo specifico alla tua organizzazione", ha scritto FireEye.

Per aiutare le organizzazioni a rilevare Poison Ivy, FireEye ha rilasciato "Calamine", un set di due strumenti progettati per decodificare la sua crittografia e capire cosa sta rubando.

Le informazioni rubate vengono crittografate da Poison Ivy utilizzando il codice Camellia con una chiave a 256 bit prima di essere inviate a un server remoto, ha scritto FireEye. La chiave di crittografia deriva dalla password utilizzata dall'aggressore per sbloccare Poison Ivy.

Molti degli aggressori utilizzano semplicemente la password predefinita, "admin". Ma se la password è cambiata, uno degli strumenti di Calamine, lo script PyCommand, può essere utilizzato per intercettarla. Un secondo strumento Calamine può quindi decrittografare il traffico di rete di Poison Ivy, che può fornire un'indicazione di ciò che ha fatto l'attaccante.

"La calamina non può fermare determinati attaccanti che usano Poison Ivy", ha avvertito FireEye. "Ma può rendere i loro sforzi criminali molto più difficili".

Invia suggerimenti e commenti sulle notizie a [email protected] Seguimi su Twitter: @jeremy_kirk.