0
Angriberne er rettet mod organisationer og personer, der kunne være deltager i et fast G20-event i Hamburg.
Billede: iStock
En russisk hacking gruppen er ved at gennemføre en cyber-spionage kampagne mod politikere, meningsdannere og journalister forud for G20-task force møde.
De angribere forsøger at distribuere en variant af KopiLuwak backdoor Trojan at disse G20-deltagere, til brug for rekognoscering og som en iscenesættelse indlæg for mere avancerede angribere, siger forskere på Proofpoint.
Turla, en velkendt advanced persistent threat (APT) gruppe, der menes at stå bag angrebene.
Sikkerhed fagfolk mener, at gruppen er statsstøttet, og arbejder for at fremme målene for den russiske regering — selv om Præsident, Vladimir Putin, som hævder, at landet ikke hacke andre, på trods af beskyldninger om indblanding i det AMERIKANSKE præsidentvalg.
Gruppen har tidligere misbrugt satellitter til at dække deres spor, og har forsøgt at distribuere malware i bemærkningerne afsnit af Britney Spears’ Instagram-side.
Nu er den gruppe er, der forsøger at sprede bagdør dropper sine G20-mål ved hjælp af spyd-phishing-e-mails, der indeholder en “Save the Date’ invitation til et G20-Task Force om den Digitale Økonomi, som er sat til at finde sted i oktober.
Arrangementet er reel, og den tilsigtede mål er individer og organisationer med interesse i G20 ‘ s Digitale Økonomi Task Force, herunder diplomater, økonomi eksperter, og selv pressen.
Den potentielt-stjålet lokke dokument, der anvendes som en del af angrebet.
Billede: Proofpoint
Forskere siger, at de er “temmelig sikker” invitationen er legitime, hvilket kan indikere, “at en enhed med adgang til invitationen var allerede kompromitteret” – hvilket betyder, at et dokument er opnået via en anden, men relateret, hack.
Ransomware: executive-guide til en af de største trusler på nettet
Alt, hvad du behøver at vide om ransomware: sådan begyndte det, hvorfor det er boomer, hvordan man beskytter sig mod det, og hvad man skal gøre, hvis din PC er inficeret.
Læs Mere
Det dokument, der fungerer som en lokkedue, som skjuler en JavaScript-pipette bruges til at installere en JS decryptor på en inficeret maskine, og derefter går på at dekryptere og udføre KopiLuwak bagdøren, en særdeles robust værktøj, der er forbundet med Turla gruppe.
Navnet Scr.js, JS dropper sætter bagdør på plads, ud over at oprette planlagte opgaver for at opretholde den vedvarende trussel. Bagdøren kommunikerer med, hvad der synes at være legitime, men kompromitteret, servere, der fungerer som kommando-og kontrol-for malware.
Decoy dokumentet og dets tilknyttede malware pipetter blev opdaget af Proofpoint forsker Darien Huss, der har fundet dem på en offentlig malware repository.
Mens ingen angreb ved hjælp af denne dropper har hidtil blevet spottet i naturen, i sidste ende den kampagne, der er designet til at give hackere adgang til Pc ‘ er af meget høj profil mål, der er forbundet G20-taskforce, med mulighed for at overvåge og stjæle, hvad der kunne være yderst følsomme oplysninger i forbindelse med regeringer og politiske organer.
I tillæg til exfiltrating data, KopiLuwak er i stand til at downloade yderligere nyttelast og har evnen til at udføre vilkårlige kommandoer. Forskere siger, at for de fleste Windows-operativsystemer, de potentielle konsekvenser ville være høj, især i betragtning af karakteren af de pågældende enheder.
Proofpoint har meddelt CERT-Bund, federal computer emergency response team af Tyskland, om Turla kampagne forud for næste måneds Hamborg møde.
Relaterede dækning
Russisk malware kontrol skjult i et almindeligt syn-på Britney Spears’ Instagram side
Hacking gruppen var i stand til direkte malware ved at efterlade kommentarer på en bestemt Instagram indlæg.
Tracking Turla: Hackere misbruger satellit-signaler højt på himlen
En sofistikeret hacking gruppen er ved hjælp af satellitter i en ny måde at skjule deres spor.
LÆS MERE OM IT-KRIMINALITET
Cyberkrig: smart person ‘s guide [TechRepublic]Gamle Moonlight Labyrint bagdør remerges som moderne APTHackers er nu hjælp at udnytte bag WannaCry at snuse på hotel Wi-FiDid Rusland’ s hacking bryde international lov? Selv eksperterne ikke sureNew Mac-malware, der er knyttet til den russiske hackere af AMERIKANSKE valgkamp [CNET]
0