{"id":6359,"date":"2024-03-31T22:47:53","date_gmt":"2024-03-31T20:47:53","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6359"},"modified":"2024-03-31T22:47:53","modified_gmt":"2024-03-31T20:47:53","slug":"strelastealer-napadi-pogodili-preko-100-organizacija","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/03\/31\/strelastealer-napadi-pogodili-preko-100-organizacija\/","title":{"rendered":"StrelaStealer napadi pogodili preko 100 organizacija"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di <em>Unit<\/em> <em>42<\/em> iz kompanije <em>Palo Alto Networks<\/em> <a href=\"https:\/\/unit42.paloaltonetworks.com\/strelastealer-campaign\/\" target=\"_blank\" rel=\"noopener\">su identifikovali novu seriju <em>phishing<\/em> napada<\/a> koji su \u0161irili <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> <em>StrelaStealer<\/em>. Ova prijetnja je uticala na preko 100\u00a0 organizacija \u0161irom Evropske unije i Sjedinjenih Ameri\u010dkih Dr\u017eava.<\/span><\/p>\n<div id=\"attachment_6360\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6360\" class=\"size-full wp-image-6360\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware.jpg\" alt=\"StrelaStealer\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/StrelaStealer-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6360\" class=\"wp-caption-text\"><em>StrelaStealer napadi pogodili preko 100 organizacija; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/31\/strelastealer-napadi-pogodili-preko-100-organizacija\/#STRELASTEALER\">STRELASTEALER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/31\/strelastealer-napadi-pogodili-preko-100-organizacija\/#KAMPANJA\">KAMPANJA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/31\/strelastealer-napadi-pogodili-preko-100-organizacija\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/31\/strelastealer-napadi-pogodili-preko-100-organizacija\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/31\/strelastealer-napadi-pogodili-preko-100-organizacija\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"STRELASTEALER\"><\/span><span style=\"font-size: 14pt;\"><strong><em>STRELASTEALER<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>StrelaStealer<\/em> je zlonamjerni softver za kra\u0111u akreditiva elektronske po\u0161te, a prvi put je dokumentovan od strane njema\u010dke kompanije za sajber bezbjednost <em>DCSO CyTec<\/em> <a href=\"https:\/\/medium.com\/@DCSO_CyTec\/shortandmalicious-strelastealer-aims-for-mail-credentials-a4c3e78c8abc\" target=\"_blank\" rel=\"noopener\">u blogu<\/a> objavljenom 8. novembra 2022. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Od svog prvog pojavljivanja, ovaj zlonamjerni softver je u\u010destovao u vi\u0161e velikih kampanja <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napada<\/a> preko elektronske po\u0161te, obi\u010dno \u0161irom Evropske unije i Sjedinjenih Ameri\u010dkih Dr\u017eava. Osnovni cilj <em>StrelaStealer<\/em> zlonamjernog softvera se vremenom nije promijenio, a <em>DLL<\/em> datoteka <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnog optere\u0107enja<\/a> se i dalje mo\u017ee identifikovati.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ipak, primije\u0107eno je a\u017euriranje zlonamjernog softvera kako bi se poku\u0161ali izbjegavanje detekcije. Nova varijanta zlonamjernog softvera sada isporu\u010duje kori\u0161tenjem <em>JavaScript<\/em> u <em>ZIP<\/em> datoteci i koristi a\u017euriranu tehniku zamagljivanja u <em>DLL<\/em> korisnom u\u010ditavanju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"KAMPANJA\"><\/span><strong><span style=\"font-size: 14pt;\">KAMPANJA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U januaru 2024. godine, zlonamjerni akteri pokre\u0107u novu kampanju isporuke <em>StrelaStealer<\/em> zlonamjernog softvera koja je ponovo usmjerena na organizacije u istim geografskim regionima \u2013 Evropska unija i Sjedinjene Ameri\u010dke Dr\u017eave, koja dosti\u017ee svoj vrhunac 29. januara 2024. godine. <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> koriste lokalizovan jezik za elektronsku po\u0161tu tokom ove kampanje, a ciljaju na organizacije na organizacije u mnogim industrijama, a naj\u010de\u0161\u0107a meta su bile poslovne organizacije\u00a0 u industriji visoke tehnologije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Analiza pokazuje da je glavna namjena <em>StrelaStealer<\/em> zlonamjernog softvera kra\u0111a podatka za prijavu putem elektronske po\u0161te od poznatih klijenata elektronske po\u0161te i njihovo slanje nazad na <em>C2<\/em> server definisan u konfiguraciji zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nova verzija <em>StrelaStealer<\/em> zlonamjernog softvera se \u0161iri putem <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear<\/em> <em>phishing<\/em><\/a> poruka elektronske po\u0161te koje sadr\u017ee prilog <em>ZIP<\/em> datoteke. Kada korisnik preuzme i otvori arhivu, <em>JavaScript<\/em> datoteka se ispu\u0161ta na sistem. <em>JavaScript<\/em> datoteka zatim ispu\u0161ta jednu \u0161ifrovanu i skript datoteku, gdje dolazi do dekodiranja \u0161ifrovane datoteke, \u0161to rezultira kreiranjem <em>DLL<\/em> datoteke <em>Portable<\/em> <em>Executable<\/em> (<em>PE<\/em>). U zavisnosti od korisni\u010dkih privilegija datoteka se smije\u0161ta na jednu od dvije lokacije na lokalnom disku, a zatim se izvr\u0161ava izvr\u0161ava preko izvezene funkcije <em>hello<\/em> pomo\u0107u <em>rundll32.exe<\/em> izvr\u0161ne datoteke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Alatka za pakovanje zlonamjernog softvera koristi tehniku zamagljivanja kontrolnog toka da bi ote\u017eao analizu. To podrazumijeva zamagljivanja toka kontrole pretjerano dugih blokova k\u00f4da koji se sastoje od brojnih aritmeti\u010dkih instrukcija. Ovo slu\u017ei kao tehnika anti-analize, koja potencijalno dovodi do vremenskih ograni\u010denja tokom izvr\u0161avanja uzoraka u izolovanom okru\u017eenju (eng. <em>sandbox<\/em>). Zlonamjerni akter je napravio nekoliko zna\u010dajnih izmjena kako bi izbjegao otkrivanje, pa je izbacio odre\u0111ene nizove koji su bili prisutni u ranijim verzijama zlonamjernog softvera. To ima za posljedicu da je zlonamjerni softver manje o\u010digledan kao <em>StrelaStealer<\/em> binarna izvr\u0161na datoteka i\u00a0 to bi moglo u\u010dini neke stati\u010dke potpise beskorisnim ako se oslanjaju na postojanje uklonjenih nizova.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOve kampanje dolaze u obliku ne\u017eeljene elektronske po\u0161te sa prilozima koji na kraju pokrec\u0301u DLL StrelaStealer korisni teret. U poku\u0161aju da izbjegnu otkrivanje, napada\u010di mijenjaju po\u010detni format datoteke priloga elektronske po\u0161te iz jedne kampanje u drugu, kako bi sprije\u010dili otkrivanje iz prethodno generisanog potpisa ili obrazaca.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Unit 42, Palo Alto Networks\u00a0 &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>StrelaStealer<\/em> zlonamjerni softver je aktivni alat za kra\u0111u akreditiva elektronske po\u0161te koji je u konstantnom razvoju. Svako novom zlonamjernom kampanjom elektronske po\u0161te, zlonamjerni akteri a\u017euriraju prilog elektronske po\u0161te koji pokre\u0107e lanac infekcije i sam <em>DLL<\/em> korisni teret, kako bi izbjegli da budu otkriveni od strane sigurnosnog softvera. Pored toga, lokalizovane kampanje elektronske po\u0161te dodatno pove\u0107avaju opasnost, po\u0161to \u0107e ona manje izgledati sumnjivo korisnicima i oni \u0107e biti vi\u0161e skloni pokretanju lanca infekcije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Ova zlonamjerna kampanja slu\u017ei kao podsjetnik na neophodnost stalnog podizanja svesti i usvajanja odgovaraju\u0107ih bezbjednosnih mjera za za\u0161titu povjerljivih podataka i kriti\u010dnih sistema od savremenih prijetnji kao \u0161to je <em>StrelaStealer<\/em> i njemu sli\u010dni. Kako bi se za\u0161titili korisnici i poslovne organizacije mogu primijeniti sljede\u0107e preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznom elektronskom po\u0161tom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje sveobuhvatnih <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosnih rije\u0161enja<\/a> kao \u0161to su softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) ili softver za pro\u0161ireno otkrivanje i odgovor (eng. <em>Extended detection and response \u2013 XDR<\/em>). To su rje\u0161enja koja mogu upozoriti korisnike sistema na potencijalne napade i sprije\u010diti dalji napredak zlonamjernog softvera prije nego \u0161to do\u0111e do zna\u010dajnije \u0161tete,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017euriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver mo\u017ee da iskoristi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija korisnika o rizicima koji se odnose na mre\u017eu, ure\u0111aje i infrastrukturu poslovne organizacije mogu zna\u010dajno pomo\u0107i u prevenciji napada, jer ljudski faktor ostaje jedna od najvec\u0301ih ranjivosti u sajber bezbjednosti. Redovne obuke korisnika mogu pomo\u0107i u identifikaciji i prijavi sajber napada.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di Unit 42 iz kompanije Palo Alto Networks su identifikovali novu seriju phishing napada koji su \u0161irili zlonamjerni softver StrelaStealer. Ova prijetnja je uticala na preko 100\u00a0 organizacija \u0161irom Evropske unije i Sjedinjenih&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6360,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[628,658,937,148,655,93,341,61,83,936,938,911],"class_list":["post-6359","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-c2","tag-dll","tag-eu","tag-infostealer","tag-javascript","tag-malware","tag-payload","tag-phishing","tag-spear-phishing","tag-strelastealer","tag-usa","tag-zip"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6359"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6359\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6360"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6359"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}