Discord kihasználása
A Trellix Advanced Research Center bizonyítékot talált egy ukrán kritikus infrastruktúrákat célzó eszközre a Discord-on. A Discord funkcióit kihasználó APT rosszindulatú programkampányok potenciális megjelenése új összetettségi réteget vezet be a fenyegetési környezetbe.
A Trellix korábban elemezte a rosszindulatú programokat, amelyek kihasználják a Discord infrastruktúrát. A legtöbb ilyen malware adatlopó (infostealer) és RAT (Remote Access Trojans), amelyek az beszerezhetők az internetről, de akad köztük az ukrán kritikus infrastruktúrákat célzó eszköz is, amelyet a közelmúltban sikerült azonosítania a Trellix-nek. Ez az első alkalom, hogy egy APT-tevékenységgel kapcsolatos mintát találtak, amely visszaél a Discord-dal.
A Trellix együttműködött a Threatray-vel, hogy azonosítson több olyan malware-t, amelyek kihasználták a Discord-on, hogy mennyire elterjedtek az ilyen típusú rosszindulatú programok.
A Discord funkcióit kihasználó APT rosszindulatú programkampányok lehetséges megjelenése a fenyegetettség új összetettségi rétegét mutatja be. Az APT-k kifinomult és célzott támadásaikról ismertek, és a széles körben használt kommunikációs platformokba, például a Discordba beszivárogva hatékonyan meg tudják teremteni a hosszú távú kapcsolatot a hálózatokon belül, veszélybe sodorva a kritikus infrastruktúrát és az érzékeny adatokat.
Fontos azonban észben tartani, hogy az APT csoportok a korábban miért nem használták a Discordot: nem ők irányítják teljes mértékben a C&C csatornát. Valószínűnek tűnik, hogy az APT szereplői a jövőben csak a korai szakaszokban vagy felderítésre használják a Discord-ot, ahogy azt korábban láttuk, megbízhatóbb módszereket hagyva a későbbi szakaszokra.
A Trellix megosztotta az azonosítámhozs szükséges mutatókat.