www.marcommit.nlwww.lubbersdejong.nlProgressCommunications.eu
INFLUX PRProgressCommunications.euProgressCommunications.eu

x.com/ictberichten
Deel dit nu via
Datum: (4 jaar en 103 dagen geleden)
Bedrijf:

Zscaler waarschuwt voor HydroJiin-campagne die SSL-encryptie misbruikt

Amsterdam, 29 april 2021 - Het Zscaler ThreatLabZ-team heeft een interessante campagne ontdekt bestaande uit meerdere infostealer RAT-families en miner malware. Deze campagne is omgedoopt tot ‘HydroJiin’ op basis van aliassen gebruikt door de threat actor. Deze threat actor verkoopt malware en hangt rond in online fora die vaak bezocht worden door onervaren tot mid-level cybercriminelen. Zscaler vermoedt dat de malware-auteur een wijd verspreide campagne voert, bestaande uit verschillende commodity- en custom-malware, om informatie te stelen en te verkopen op ondergrondse marktplaatsen.

Vergelijkbaar met andere aanvallen die beschreven worden in het recente ThreatLabZ State of Encrypted Attacks-rapport, onderstreept ook deze campagne het belang van continue SSL-inspectie en een zero trust-beleid om initiële infectie te voorkomen alsook de communicatie naar C&C servers. Ondanks dat de impact van deze specifieke campagne niet bekend is, wordt dit type malware wel breed aangeboden op ondergrondse markten. De campagne zelf is niet enorm geavanceerd. Wel vergroot het gebruik van een aantal verschillende technieken de kans op het succesvol infiltreren van organisaties die niet de juiste maatregelen nemen.

SSL-inspectie
Bij een aanval van deze campagne wordt versleuteld verkeer misbruikt om de malware te verbergen. Ondanks dat SSL-encryptie ontwikkeld is om verkeer te beschermen, lijkt dit nu ook op zichzelf een potentiële dreiging te worden. Het scannen van SSL-verkeer kan hier een uitkomst bieden. Cybercriminelen weten dat encryptie de standaard is voor het beschermen van data. Zij weten echter ook dat organisaties het merendeel van hun encrypted verkeer nog steeds niet scannen. Uit het ThreatLabZ State of Encrypted Attacks-rapport bleek dan ook dat de Zscaler-cloud tussen januari en september 2020 zo’n 6,6 miljard securitydreigingen blokkeerde die verborgen waren in versleuteld verkeer. Dit is een gemiddelde toename van 260% ten opzichte van 2019. Deze cijfers tonen het enorme risico van encrypted verkeer wanneer het zonder inspectie binnenkomt in het bedrijfsnetwerk. Om deze reden zou SSL-scanning een belangrijke component moeten worden van de beveiligingsmaatregelen van iedere organisatie.

Deze HydroJiin-campagne gebruikt verschillende payloads en infectie-vectoren, van commodity RAT’s tot custom malware, e-mail-spam en backdooring/masquerading als gekraakte software. Een aantal unieke aspecten van deze campagne zijn:
  • Multilevel infectieketen van payloads;
  • Op maat gemaakte python-based backdoor uitgevoerd naast andere RAT’s (Netwired en Quasar);
  • Controle van python voor macOS, wat aangeeft dat er in de toekomst meer platformonafhankelijke functionaliteit mogelijk is;
  • Campagne is gerelateerd aan een dreigingsactor die betrokken is bij de distributie van verschillende kwaadaardige tools via een dedicated malware e-commerce website;
  • Mogelijkheid van backdoored malware payload vergelijkbaar met CobianRAT;
  • Niet zeldzaam, wel intensief gebruik van pastebin voor hosten van encoded payloads.


Afbeelding 1: infectieketen

De infectie start met een downloader die verschillende payloads downloadt. Zscaler kon de leveringsvector van deze downloader niet bevestigen, maar vermoedt het gebruik van spam-e-mails en gekraakte software, zoals in eerdere campagnes. Als de aanvallers initiële compromittering eenmaal bereiken, downloadt de downloader drie bestanden:
  • Injector - Wordt gebruikt als een loader om gedownloade payloads in legitieme processen te injecteren.
  • Netwired RAT - Een commodity RAT-malware die wordt gebruikt om geïnfecteerde systemen te beheren en informatie te stelen.
  • DownloaderShellcode - Obfuscated Meterpreter-based shellcode om verdere payloads te downloaden.
    • Deze shellcode downloadt een Pyrome python backdoor. Deze zal daarnaast ook een socat en xmring miner downloaden en uiteindelijk zal xmring miner een andere RAT downloaden, genaamd Quasar.
Conclusie
HydroJiin gaat al een tijdje mee. Hij verkoopt meerdere malware-types naast het uitvoeren van zijn eigen campagnes. De malware-payload download-stats van pastebin geven aan dat hij redelijk succesvol is. Deze actor mag dan wel niet enorm geavanceerd zijn, hij is wel volhardend door verschillende tools, technieken en methoden te gebruiken om zijn kansen op succes te vergroten. SSL-inspectie is essentieel om dreigingen die versleuteld verkeer misbruiken om hun kwaadaardige intenties te verbloemen, te detecteren en blokkeren. Het Zscaler ThreatLabZ-team zal deze campagne blijven volgen en monitoren.

Bezoek de website voor meer informatie en een technische analyse van deze campagne: https://www.zscaler.com/blogs/security-research/look-hydrojiin-campaign



Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange bescheremt duizenden klanten van cyberaanallen en dateverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.



Voor meer informatie

Zscaler
Berend Sikkema
E-mail:bsikkema@zscaler.com

Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail: zscaler@whizpr.nl
Geplaatst:
Verstreken tijd: 4 jaar en 103 dagen
Zscaler contact  

Logo Zscaler

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo theMatchBox
Logo Companial
Logo Heliview Conferences & Training
Logo CI Company
Logo 5S-company
Logo Companial
Logo Equote B.V.
Logo Simjo
Logo Bo5 - online marketing
Logo Ziptone
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo We talk SEO B.V.
Logo Vlirdens
Logo Networking4ALL
Logo BusinessCom
Logo Botz4U
Logo We talk SEO B.V.
Logo Ebury Nederland
Logo Visma | Raet
Logo The Clip Company
Logo Keen Venture Partners
Logo EZVIZ
Logo Deel
Logo Conclusion
Logo Unit4
Logo Exotec
Logo ilionx
Logo IG&H
Logo Wuunder
Logo NTT DATA
Logo Beans View
Logo Visma | Raet
TARIEVEN
> Publicatie eenmalig €49

BUNDELS
> 6 publicaties €199
> 12 publicaties €349
> Onbeperkt €499

EENMALIG PLAATSEN
> Persbericht aanleveren

VAKER PLAATSEN
> Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN OP X
> @ICTBERICHTEN

ZOEK
> IT bedrijf
> IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE STATS
> 100551 persberichten
> 6747 bedrijfsprofielen
> 51 PR-bureauprofielen
> 15241 tags

KENMERKEN
> Behouden tekstopmaak
> Foto/illustratie/logo
> Downloadbare bijlages
> Profiel met socials
 
www.marcommit.nlwww.lubbersdejong.nlProgressCommunications.eu
INFLUX PRINFLUX PRProgressCommunications.eu