{"id":6808,"date":"2024-06-23T15:52:09","date_gmt":"2024-06-23T13:52:09","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6808"},"modified":"2024-06-23T15:52:09","modified_gmt":"2024-06-23T13:52:09","slug":"pogled-na-warmcookie-backdoor","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/","title":{"rendered":"Pogled na WARMCOOKIE backdoor"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>WARMCOOKIE<\/em> je <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>zlonamjerni softver koji postaje sve popularniji me\u0111u <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> zbog svoje skrivene prirode i svestranih mogu\u0107nosti. Ovaj sofisticirani dio k\u00f4da, dizajniran za infiltriranje, postojanost i prikupljanje obavje\u0161tajnih podataka iz sistema \u017ertava, prati zamr\u0161eni lanac infekcije koji mo\u017ee zaobi\u0107i razli\u010dite mjere bezbednosti i izbje\u0107i otkrivanje. U nastavku \u0107e biti rije\u010di o analizi ovog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a>, njegovih mogu\u0107nosti i teku\u0107oj <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>kampanji koja ga koristi za ciljanje nesu\u0111enih \u017ertava.<\/span><\/p>\n<div id=\"attachment_6809\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6809\" class=\"size-full wp-image-6809\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware.jpg\" alt=\"WARMCOOKIE backdoor\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/06\/WARMCOOKIE-backdoor-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6809\" class=\"wp-caption-text\"><em>Pogled na WARMCOOKIE backdoor; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#WARMCOOKIE_BACKDOOR\" >WARMCOOKIE BACKDOOR<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#Funkcionisanje\" >Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#Mogucnosti\" >Mogu\u0107nosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#Komunikacija\" >Komunikacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#Bot_funkcionalnosti\" >Bot funkcionalnosti<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/23\/pogled-na-warmcookie-backdoor\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"WARMCOOKIE_BACKDOOR\"><\/span><strong><span style=\"font-size: 14pt;\"><em>WARMCOOKIE BACKDOOR<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Od kraja aprila 2024. godine, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> kompanije <em>Elastic<\/em> <em>Security<\/em> su <a href=\"https:\/\/www.elastic.co\/security-labs\/dipping-into-danger\" target=\"_blank\" rel=\"noopener\">primijetili porast <em>phishing<\/em> kampanja<\/a> koje se la\u017eno predstavljaju kao firme koje regrutuju i ciljaju na one koji tra\u017ee posao. Elektronske poruke poslate u ovoj kampanji sadr\u017ee mamce vezane za odre\u0111ene pojedince i njihove trenutne poslodavce, podsti\u010du\u0107i \u017ertve da kliknu na link kako bi vidjeli navodni opis posla. Kada se klikne, od korisnika se tra\u017ei da preuzmu dokument nakon \u0161to rije\u0161e <em>CAPTCHA<\/em> izazov.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj dokument sadr\u017ei zamagljenu <em>JavaScript<\/em> datoteku koja pokre\u0107e <em>PowerShell<\/em>, koji zauzvrat preuzima <em>WARMCOOKIE<\/em> <em>backdoor<\/em> i pokre\u0107e <em>DLL<\/em> datoteku pomo\u0107u usluge inteligentnog prenosa u pozadini (eng. <em>Background Intelligent Transfer Service \u2013 BITS<\/em>). Kampanja tako\u0111e koristi ugro\u017eenu infrastrukturu za skladi\u0161tenje po\u010detne <em>URL<\/em> adrese za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>i preusmjeravanje \u017ertava na odgovaraju\u0107u odredi\u0161nu stranicu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionisanje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>WARMCOOKIE<\/em> <em>backdoor<\/em> se izvr\u0161ava kroz proces u dva koraka: uspostavljanje postojanosti kroz zakazani zadatak i pokretanje osnovne funkcionalnosti dok se obavljaju provjere anti-analize kako bi se izbjeglo otkrivanje. U prvoj fazi rada <em>WARMCOOKIE<\/em> postavlja planirani zadatak koriste\u0107i <em>Task<\/em> <em>Scheduler<\/em> funkcionalnost sa sistemskim privilegijama da se pokre\u0107e svakih 10 minuta svakog dana.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Osnovna funkcionalnost <em>WARMCOOKIE<\/em> zlonamjernog softvera se nalazi u preuzetoj <em>DLL<\/em> datoteci. Kada se u\u010dita u memoriju, zlonamjerni softver po\u010dinje da radi obavljanjem razli\u010ditih provjera i tehnika zamagljivanja kako bi izbjegao otkrivanje. Za operaciju zamagljivanja koristi prilago\u0111eni algoritam za de\u0161ifrovanje nizova da za\u0161titi svoje nizove. Prva \u010detiri bajta svakog <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanog<\/a> niza predstavljaju veli\u010dinu, nakon \u010dega sledi <em>RC4<\/em> klju\u010d, a preostali bajtovi sadr\u017ee stvarne podatke niza. Me\u0111utim, nisu sve instance klju\u010da <em>RC4<\/em> rotirane izme\u0111u razli\u010ditih nizova, primijetili su sigurnosni istra\u017eiva\u010di.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U nastavku zlonamjerni softver koristi dinami\u010dko <em>API<\/em> u\u010ditavanje kako bi sprije\u010dio stati\u010dku analizu da identifikuje njegovu osnovnu funkcionalnost. Ne koristi <em>API<\/em> he\u0161iranje ili rje\u0161avanje i \u0161titi ciljane <em>DLL<\/em> datoteke i osjetljive nizove koriste\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a>. De\u0161ifrovani nizovi se bri\u0161u iz memorije odmah nakon upotrebe, potencijalno izbjegavaju\u0107i skeniranje memorijskog potpisa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na kraju <em>WARMCOOKIE<\/em> <em>backdoor<\/em> vr\u0161i provjere protiv otklanjanja gre\u0161aka (eng. <em>anti<\/em>&#8211;<em>debugging<\/em>) za ciljana izolovana okru\u017eenja (eng. <em>sandboxes<\/em>). Ove provjere uklju\u010duju logiku za provjeru aktivnog broja <em>CPU<\/em> procesora i vrijednosti fizi\u010dke\/virtuelne memorije. Konkretno, ako ima vi\u0161e od 3 ili 4 procesora (u zavisnosti od uslova) i izra\u010dunata vrijednost iz <em>GlobalMemoryStatusEx<\/em> poziva je ve\u0107a od odre\u0111enog praga, tada \u0107e <em>WARMCOOKIE<\/em> zlonamjerni softver nastaviti sa izvr\u0161avanjem.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Dodatno, svaki uzorak zlonamjernog softvera dolazi sa nizom nalik na <em>GUID \u2013 globally unique identifier<\/em> kao muteksom za pode\u0161avanje pre njegove glavne funkcionalnosti. Ovo poma\u017ee da se osigura da se samo jedna instanca zlonamjernog softvera pokre\u0107e u bilo kom trenutku na sistemu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mogucnosti\"><\/span><strong><span style=\"font-size: 14pt;\">Mogu\u0107nosti<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Glavne mogu\u0107nosti <em>WARMCOOKIE<\/em> zlonamjernog softvera uklju\u010duju preuzimanje informacija o \u017ertvama kao \u0161to su <em>IP<\/em> adresa i detalji <em>CPU<\/em> procesora, pravljenje snimaka ekrana koriste\u0107i <em>Windows<\/em> izvorne alate, nabrajanje instaliranih programa preko klju\u010da sistemskih registara, izvr\u0161avanje proizvoljnih komandi pomo\u0107u <em>cmd.exe<\/em>, preuzimanje datoteka u odre\u0111ene direktorijume\/putanje i de\u0161ifrovanje stringove sa <em>IDAPython<\/em> skriptom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Svaki uzorak zlonamjernog softvera kompajliran je sa tvrdo kodiranom <em>C2<\/em> <em>IP<\/em> adresom i <em>RC4<\/em> klju\u010dem. Zlonamjerni softver se ne\u0107e pokrenuti ako je broj <em>CPU<\/em> procesora i vrijednosti fizi\u010dke ili virtuelne memorije ispod odre\u0111enih pragova da bi se izbjegla okru\u017eenja za analizu. Sve primljene komande se obra\u0111uju putem provjere integriteta pomo\u0107u <em>CRC32<\/em> kontrolnih suma kako bi se osiguralo da nisu manipulisane.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uprkos ograni\u010denim mogu\u0107nostima, <em>WARMCOOKIE<\/em> zlonamjerni softver ne treba shvatati olako, jer se aktivno koristi i uti\u010de na organizacije na globalnom nivou.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Komunikacija\"><\/span><strong><span style=\"font-size: 14pt;\">Komunikacija<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver komunicira isklju\u010divo preko <em>HTTP<\/em> protokola sa tvrdo kodiranom <em>IP<\/em> adresom, koja je konstantna u svim posmatranim uzorcima. Ova <em>IP<\/em> adresa slu\u017ei kao komandni i kontrolni (C2) server za <em>WARMCOOKIE<\/em> zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Komunikacija izme\u0111u inficiranog ure\u0111aja i <em>C2<\/em> servera uklju\u010duje nekoliko tehnika \u0161ifrovanja za za\u0161titu podataka koji se prenose. Zlonamjerni softver koristi kombinaciju <em>RC4<\/em> i <em>Base64<\/em> kodiranja da obezbijedi svoj mre\u017eni saobra\u0107aj. Konkretno, tri prora\u010duna kontrolne sume se \u0161ifruju pomo\u0107u <em>RC4<\/em> pre nego \u0161to se po\u0161alju preko <em>HTTP<\/em> kola\u010di\u0107a kao parametara.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba tvrdo kodiranih <em>IP<\/em> adresa u zlonamjernom softveru nije neuobi\u010dajena, ali mo\u017ee olak\u0161ati otkrivanje zlonamjerne infrastrukture za bezbjednosne timove, jer se ne mijenja \u010desto. Me\u0111utim, u slu\u010daju <em>WARMCOOKIE <\/em>zlonamjernog softvera, zlonamjerni akteri svake nedjelje otvaraju nove domene i infrastrukturu kako bi podr\u017eali ove kampanje, \u0161to otkrivanje \u010dini izazovnijim.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Bot_funkcionalnosti\"><\/span><strong><span style=\"font-size: 14pt;\"><em>Bot<\/em> funkcionalnosti<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>WARMCOOKIE bot f<\/em>unkcionalnost uklju\u010duje sedam rukovalaca komandi koje zlonamjerni akteri mogu da koriste za preuzimanje dodatnih informacija o \u017ertvama ili za primjenu dodatnih \u0161tetnih sadr\u017eaja:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Prvi rukovalac komandom (<em>ID 1<\/em>) je odgovoran za preuzimanje detalja \u017ertve kao \u0161to su <em>IP<\/em> adresa i informacije o procesoru. Ovaj rukovalac uzima <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/07\/digital-footprint\/\" target=\"_blank\" rel=\"nofollow noopener\">digitalni otisak<\/a> ure\u0111aja \u017ertve prikupljanjem ovih podataka i zatim ih \u0161alje \u0161ifrovane podatke na <em>C2<\/em> server preko <em>HTTP<\/em> parametra kola\u010di\u0107a,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Drugi rukovalac komandama (<em>ID 2<\/em>) omogu\u0107ava zlonamjernom softveru da napravi snimke ekrana koriste\u0107i <em>Windows<\/em> izvorne alate i po\u0161alje ih nazad na <em>C2<\/em> server napada\u010da,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Tre\u0107i rukovalac komandama (<em>ID 3<\/em>) omogu\u0107ava zlonamjernom softveru da nabroji instalirane programe na ma\u0161ini \u017ertve pristupom klju\u010du sistemskih registara,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">\u010cetvrti rukovalac komandama (<em>ID 4<\/em>) omogu\u0107ava izvr\u0161avanje komandne linije, omogu\u0107avaju\u0107i zlonamjernim akterima da pokre\u0107u proizvoljne komande koriste\u0107i <em>cmd.exe<\/em> i po\u0161alju izlaz nazad na <em>C2<\/em> server,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Peti rukovalac komandama (<em>ID 5<\/em>) omogu\u0107ava zlonamjernom softveru da ispusti datoteke u odre\u0111ene direktorijume\/putanje na ure\u0111aju \u017ertve,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">\u0160esti rukovalac komandama (<em>ID 6<\/em>) omogu\u0107ava zlonamjernom akteru da \u010dita datoteke sa inficiranih ure\u0111aja tako \u0161to daje putanju datoteke kao argument. Ako je uspje\u0161an, \u0161alje <em>POST<\/em> zahtev sa <em>Base64<\/em> kodiranom vredno\u0107u <em>OK<\/em> zajedno sa sadr\u017eajem datoteke.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sedmi rukovalac komandama (<em>ID 10<\/em>) uklanja prethodno konfigurisane zakazane zadatke.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Windows<\/em> zlonamjerni softver pod nazivom <em>WARMCOOKIE<\/em> identifikovan je kao ogromna prijetnja koja se distribuira kroz la\u017ene <em>phishing<\/em> kampanje ponuda za posao sa ciljem da provale u korporativne mre\u017ee od kraja aprila 2024. godine. Sigurnosni istra\u017eiva\u010di koji su analizirali ovu kampanju ka\u017eu da je <em>WARMCOOKIE<\/em> sposoban za obimno uzimanje digitalnog otiska ure\u0111aja, snimanje ekrana i primjenu dodatnih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih optere\u0107enja<\/a> kada se u\u010dvrsti u ciljanom sistemu. Provjere protiv analize zlonamjernog softvera obuhvataju uslove zasnovane na broju procesora i vrijednosti memorije da bi se izbjegla izolovana okru\u017eenja ili okru\u017eenja za analizu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri koji stoje iza ove kampanje preduzimaju mjere da izbjegnu otkrivanje od strane bezbjednosnih tehnologija. Oni koriste ugro\u017eenu infrastrukturu za skladi\u0161tenje po\u010detnih <em>phishing<\/em> <em>URL<\/em> adresa koje preusmjeravaju \u017ertve na razli\u010dite odredi\u0161ne stranice sa zlonamjernim sadr\u017eajem. Novi domeni i infrastruktura se \u010desto mijenjaju svake nedjelje, \u0161to predstavlja izazov za sisteme reputacije da odr\u017ee korak sa aktivnostima zlonamjernih aktera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako ova kampanja nastavlja da se razvija, bezbjednosni timovi moraju ostati informisani o najnovijim de\u0161avanjima i prilagoditi svoju odbranu u skladu sa tim kako bi se za\u0161titili od ovih novonastalih prijetnji.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se korisnici efikasno za\u0161titili <em>WARMCOOKIE<\/em> zlonamjernog softvera, neophodno je da razumiju njegovo pona\u0161anje i primjene vi\u0161eslojni bezbjednosni pristup. Evo nekoliko preporu\u010denih koraka:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Po\u010detni <em>WARMCOOKIE <\/em>vektor napada je putem kampanja elektronske po\u0161te. Primjena robusnih rje\u0161enja za za\u0161titu elektronske po\u0161te kao \u0161to su filteri za ne\u017eeljenu po\u0161tu, analiza u izolovanom okru\u017eenju i filtriranje priloga mo\u017ee pomo\u0107i u spre\u010davanju isporuke zlonamjernih elektronskih poruka korisni\u010dkim sistemima. Pored toga, edukacija korisnika o prepoznavanju poku\u0161aja <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111e identiteta<\/a> i neotvaranje sumnjivih priloga ili klikanje na veze u ne\u017eeljenim elektronskim porukama uveliko poma\u017ee u spre\u010davanju infekcije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da je softver za za\u0161titu krajnjih ta\u010daka instaliran na svim ure\u0111ajima i da je a\u017euriran sa najnovijim definicijama kako bi mogao otkriti i blokirati poznate varijante zlonamjernog softvera, uklju\u010duju\u0107i <em>WARMCOOKIE<\/em>. Ovaj softver bi trebalo da uklju\u010duje skeniranje u realnom vremenu datoteka preuzetih sa interneta ili priloga elektronske po\u0161te, kao i analizu pona\u0161anja da bi se identifikovale sumnjive aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovesti mjere bezbednosti mre\u017ee kao \u0161to su za\u0161titni zidovi i sistemi za otkrivanje upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) da bi se nadgledao dolazni i odlazni saobra\u0107aj na bilo kakve znakove <em>WARMCOOKIE<\/em> komunikacionih obrazaca ili poznatih <em>C2<\/em> domena. Pored toga, segmentiranje mre\u017ee mo\u017ee pomo\u0107i u ograni\u010davanju \u0161irenja zlonamjernog softvera u slu\u010daju da je krajnja ta\u010dka ugro\u017eena,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti smjernice za kontrolu aplikacija da bi se ograni\u010dilo izvr\u0161avanje neodobrenih aplikacija i skripti na krajnjim ta\u010dkama. Ovo \u0107e sprije\u010diti <em>WARMCOOKIE<\/em> zlonamjerni softver da bude u mogu\u0107nosti da izvr\u0161i svoje <em>PowerShell<\/em> komande ili preuzme svoje <em>DLL<\/em> datoteke, po\u0161to se oslanja na ove tehnike za izvr\u0161avanje na korisni\u010dkim ure\u0111ajima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da su svi sistemi a\u017eurirani najnovijim softverskim ispravkama i bezbjednosnim ispravkama. Ovo \u0107e pomo\u0107i u spre\u010davanju da poznate ranjivosti budu iskori\u0161\u0107ene od strane <em>WARMCOOKIE<\/em> zlonamjernog softvera ili drugog zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati korisnike o rizicima otvaranja sumnjivih elektronskih poruka, klikanja na veze u ne\u017eeljenim porukama i preuzimanja neprovjerenih priloga. Redovno vo\u0111enje razgovora o bezbednosti mo\u017ee pomo\u0107i u stvaranju kulture budnosti u poslovnoj organizaciji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a> kako bi se u svakom momentu bilo spremno za eventualnu infekciju <em>WARMCOOKIE<\/em> zlonamjernog softvera ili sli\u010dan napad. Ovo bi trebalo da uklju\u010duje procedure za izolovanje zara\u017eenih sistema, prikupljanje i analizu forenzi\u010dkih podataka i komunikaciju sa zainteresovanim stranama o situaciji.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Ukratko, za\u0161tita od <em>WARMCOOKIE<\/em> zlonamjernog softvera zahteva vi\u0161eslojni bezbjednosni pristup koji uklju\u010duje za\u0161titu elektronske po\u0161te, bezbjednost krajnjih ta\u010daka, bezbjednost mre\u017ee, kontrolu aplikacija, upravljanje a\u017euriranjima, obuku korisnika i planiranje odgovora na incidente. Primjenom ovih mjera mo\u017ee se zna\u010dajno smanjiti rizik da organizacija postane \u017ertva ove ili sli\u010dnih prijetnji zlonamjernog softvera.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>WARMCOOKIE je backdoor zlonamjerni softver koji postaje sve popularniji me\u0111u zlonamjernim akterima zbog svoje skrivene prirode i svestranih mogu\u0107nosti. Ovaj sofisticirani dio k\u00f4da, dizajniran za infiltriranje, postojanost i prikupljanje obavje\u0161tajnih podataka iz sistema \u017ertava,&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6809,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1586,644,1584,93,1284,1587,1588,61,1583,1585,994,1581,1582],"class_list":["post-6808","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-additional-payloads","tag-cybersecurity","tag-job-seekers","tag-malware","tag-malware-development","tag-network-access","tag-ongoing-threat","tag-phishing","tag-recruiting-themes","tag-screenshots","tag-threat-actors","tag-warmcookie","tag-windows-backdoor"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6808"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6808\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6809"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}