Uus tagauks Mistic seotud küberkurjategijatega, kes müüvad ligipääsu lunavararühmitustele

Turvauurijad on tuvastanud uue ennasthävitava tagaukse nimega Mistic (tuntud ka kui MLTBackdoor), mida on kasutatud sissetungides alates aprillist. Zscaler dokumenteeris pahavara esmakordselt selle kuu alguses, märkides, et seda kasutatakse tõenäoliselt lunavararünnakutes võrgus liikumiseks.

Symanteci ja Carbon Blacki küberohtude jälitajad teatasid kolmapäeval, et tagaust on kasutatud mitmete organisatsioonide võrkudesse tungimiseks kindlustuse, hariduse, IT ja professionaalsete teenuste valdkonnas. Mistic võib olla seotud rahaliselt motiveeritud algse juurdepääsu maakleriga KongTuke (sisemiselt Woodgnat), kes on varem seostatud lunavararühmitustega Qilin, Interlock, Rhysida, Akira, 8Base ja Black Basta. Ühes juhtumis kasutati Misticut koos KongTuke arendatud ModeloRAT-iga.

Mistic suudab faile üles ja alla laadida, liigutada, ümber nimetada ja kustutada ning täita käske juhtimisserverist. Eriti märkimisväärne on, et pahavara käivitab koodi otse mälus, vältides nii failipõhist tuvastamist viirusetõrjes. Pärast ülesande täitmist hävitab tagauks end ise, võimaldades ründajatele pikaajalist ja varjatud ligipääsu.

Loe täispikka artiklit: The Register

Lisa kommentaar