Threat Database Malware EYE Malware

EYE Malware

Die EYE Malware ist ein Tool nach der Ausbeutung, das als Teil des Arsenals einer Hacker-Gruppe beobachtet wurde, die sich speziell an Transport- und Schifffahrtsunternehmen aus Kuwait richtet. In den Fällen, in denen die EYE-Malware erkannt wurde, wurde sie bereitgestellt, nachdem die Zielsysteme bereits von einer anderen Malware einer Gruppe von Hackern namens Hisoka kompromittiert worden waren.

Die Rolle der EYE Malware in den Angriffsketten bestand darin, die Spuren zu beseitigen, die die bedrohlichen Aktivitäten der Bedrohungsakteure hinterlassen haben. Kurz gesagt, es handelt sich um ein ausfallsicheres Gerät, das die Aufgabe hat, alle identifizierenden Artefakte zu beseitigen, die durch nicht autorisierte RDP-Verbindungen (Remote Desktop Protocol) entstanden sind, und alle von den Angreifern erstellten Prozesse zu beenden.

Bei offener Ausführung beginnt die EYE-Malware, lokal oder über Remote-RDP-Sitzungen nach eingehenden Anmeldeversuchen zu suchen. Außerdem werden alle Prozesse aufgelistet, die nach dem Start der EYE-Malware erstellt wurden. Wenn eine Verbindung erkannt wird, schreibt die EYE-Malware die eindeutige Zeichenfolge "Wir warten auf Ihren Chef!!!" an die Konsole, bevor Sie mit der Aktivierung der Bereinigungsroutinen fortfahren. Erstens beendet die Bedrohung alle von Hackern geöffneten Anwendungen und Tools. Anschließend werden alle zuletzt verwendeten Dokumentdateien durch Verwendung der Sprungliste mithilfe des folgenden Befehls entfernt:

Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Letzte \\ * & Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Letzte \\ AutomaticDestinations \\ * & Del / F / Q. % APPDATA% \\ Microsoft \\ Windows \\ Letzte \\ Benutzerdefinierte Ziele \\ *

Die EYE-Malware entfernt auch bestimmte Werte von bestimmten Registrierungsschlüsseln und der Datei 'Default.rdp', um mögliche Anzeichen für die Aktivitäten des Bedrohungsakteurs auf dem gefährdeten Computer zu entfernen. Die von der Malware betroffenen Registries sind:

  • Software \\ Microsoft \\ Terminalserver-Client \\ Standard
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ WordWheelQuery
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ TYPEDPATHS
  • Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ RunMRU

Schließlich wird die EYE-Malware als letzten Schritt ihrer Programmierung versuchen, sich vom Zielsystem zu entfernen, indem sie den Befehl taskkill / f / im <ausführbarer Dateiname des EYE> & choice / CY / N / DY / T 3 & Del ' ausführt. >. '

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...