Praktisk bruk av Command and Control servere

Dette står å lese i Telenos sin sikkerhetsblogg fra november 2023:

Denne måneden så vi maskiner som var infisert av tre typer informasjons-stjelere: “SocGolish”, “Redline” og “Vidar”. Alle disse er designet for å raskest mulig samle sammen viktig informasjon fra en PC og sende dette ut til trusselaktøren, noen ganger fungerer de også som en bakdør til systemet som gjør at det kan fjernstyres. Informasjonen blir solgt i undergrunnsmarkeder som ferdige “informasjonspakker” til høystbydende. Kjøperen av informasjonen kan så surfe rundt på nettet og ha de samme tilgangene som offeret i form av sesjons-nøkler (cookies), brukernavn og passord. Offeret mister personlig informasjon, kan bli frastjålet penger og dersom PCen er koblet mot et bedriftsnettverk, kan dette i siste instans føre til ransomware og kryptering av data i hele nettverket.

https://telenorsoc.blogspot.com/2023/12/situasjonsrapport-fra-telenor-soc.html

En del malware fungerer på den måten at programvaren, hvis den blir aktiviset, sørger for en automatisk pålogging til en såkalt “Command and Control Server” (C2-Server) tilhørende hackeren. Hackeren kan så kommunisere tilbake fra “C2-Server” og i noen tilfeller overta kontrollen over den infiserte maskinen. Både PC og mobiltelefoner kan være utsatt for denne typen angrep.

Malware blir i noen sammenhenger installert som “falske oppdateringer”.

Den type programvare som blir intallert på “klienten”, for eksempel en PC, MAC eller en Andriod telefon, kaller man for en RAT, eller “Remote Access Trojan“. Denne oppretter så kommunikasjon ut mot C2 – Command and control server, slik at hacker kan logge seg inn via C2 server og inn på den klienten som har blitt infisert.

Telenor sin sikkerhetsblogg nevner spesielt 3 typer malware som nylig har blitt bruk i en slik sammenheng.

SocGolish

https://redcanary.com/threat-detection-report/threats/socgholish/

https://www.proofpoint.com/us/blog/threat-insight/part-1-socgholish-very-real-threat-very-fake-update

https://www.proofpoint.com/us/blog/email-and-cloud-threats/detecting-analyzing-socgholish-attack

Redline

https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer

https://nordvpn.com/no/blog/redline-stealer-malware/

Vidar

https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/what-is-vidar-malware/

https://gridinsoft.com/spyware/vidar

Android og mobiltelefon

Det har i løpet av den senere tid blitt oppdaget flere “apper” på Google Play.

En av de “rammeverkene” som brukes til å utvikle mange typer RAT malware for Android er VajraSpy:

https://www.welivesecurity.com/en/eset-research/vajraspy-patchwork-espionage-apps/