0
De aanvallers zijn gericht op organisaties en individuen die zou het bijwonen van een echte G20-evenement in Hamburg.
Beeld: iStock
Een russische hacken van de groep is bezig met een cyber-spionage campagne tegen politici, beleidsmakers en journalisten vooruit van een G20-task force vergadering.
De aanvallers proberen te verspreiden, een variant van de KopiLuwak backdoor Trojan om deze G20 deelnemers, voor de doeleinden van verkenning en als een verversingsstation voor de meer gevorderde aanvallers, zeggen onderzoekers van Proofpoint.
Turla, een bekende advanced persistent threat (APT) groep, wordt verondersteld te zijn achter de aanslagen.
Security professionals geloven dat de groep wordt gesponsord door de staat en werkt aan de doelen van de russische regering — hoewel President Vladimir Poetin vorderingen van het land niet hacken van anderen, ondanks beschuldigingen van inmenging in de AMERIKAANSE presidentsverkiezingen.
De groep eerder misbruikt satellieten hun sporen te verbergen en hebben geprobeerd om malware verspreiden in de sectie opmerkingen van Britney Spears’ Instagram pagina.
Nu is de groep probeert te verspreiden door de achterdeur druppelaar aan de G20-doelstellingen met behulp van spear-phishing e-mails met een ‘Save the Date’ uitnodiging voor een G20-werkgroep van de Digitale Economie, die is ingesteld om plaats te nemen in oktober.
Het evenement is echt, en de beoogde doelen, particulieren en organisaties met een interesse in de G20 de Digitale Economie Task Force, met inbegrip van diplomaten, economie deskundigen, en zelfs de pers.
Het potentieel gestolen lokken document dat gebruikt wordt als onderdeel van de aanval.
Afbeelding: Proofpoint
Onderzoekers zeggen dat ze “redelijk zeker” de uitnodiging is legitiem, die kunnen wijzen “dat een entiteit met toegang tot de uitnodiging was al aangetast”, dat wil zeggen het document is verkregen via een aparte, maar verwante, hack.
Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
Alles wat u moet weten over ransomware: hoe het begon, waarom het is booming, hoe om te beschermen tegen en wat te doen als uw PC is geïnfecteerd.
Lees Meer
Het document fungeert als een valstrik, die vermommingen een JavaScript-dropper gebruikt voor het installeren van een JS-decryptor op een geïnfecteerde machine en gaat vervolgens naar het decoderen en het uitvoeren van de KopiLuwak terug deur, een bijzonder krachtig instrument geassocieerd met de Turla groep.
Naam Scr.js de JS druppelaar zet de achterdeur in de plaats, naast het instellen van geplande taken met het oog op de aanhoudende dreiging. De achterdeur communiceert met wat lijken te zijn legitiem, maar in het gedrang, servers, handelend als commando en controle voor de malware.
De kooiker document en de bijbehorende malware droppers werden ontdekt door Proofpoint onderzoeker Darien Huss, die vond dat ze op een openbare malware-gegevensopslagruimte.
Terwijl er geen aanvallen met behulp van deze druppelaar zijn al gespot in het wild, uiteindelijk de campagne is ontworpen om aanvallers toegang tot de Pc ‘ s van zeer hoge profiel doelen die de G20 taskforce, met de mogelijkheid om te monitoren en te stelen wat kan zeer gevoelige informatie in verband met overheden en beleidsorganen.
Naast exfiltrating gegevens, KopiLuwak is in staat om het downloaden van extra ladingen en heeft de mogelijkheid tot het uitvoeren van willekeurige commando ‘ s. Onderzoekers zeggen dat voor de meeste Windows-besturingssystemen, wordt de mogelijke impact zou zijn, vooral gelet op de aard van die doelwit.
Proofpoint in kennis heeft gesteld CERT-Bund, de federal computer emergency response team van Duitsland, over de Turla campagne voorsprong van volgende maand Hamburg vergadering.
Verwante dekking
Russische malware controles hiding in plain sight — op Britney Spears’ Instagram pagina
Het hacken van de groep was in staat om direct malware door commentaar te leveren op een specifieke Instagram post.
Het bijhouden van Turla: Hackers misbruik van satelliet signalen hoog in de lucht
Een verfijnde hacken van de groep is met behulp van satellieten in een nieuwe manier om te verbergen van hun sporen.
LEES MEER OVER CYBERCRIMINALITEIT
Cyberoorlog: Het smart person ‘ s guide [TechRepublic]Oude Maanlicht Doolhof backdoor remerges als moderne APTHackers zijn nu met behulp van de exploit achter WannaCry snoop op hotel Wi-FiDid Rusland verkiezing van hacking breken internationaal recht? Zelfs de experts niet sureNew Mac-malware gekoppeld aan de russische hackers van ONS verkiezing [CNET]
0