0
Angriparna är inriktade organisationer och individer som skulle kunna gå på en riktig G20 händelse i Hamburg-harburg.
Bild: iStock
En rysk hacka gruppen genomför en cyber-spionage kampanj mot politiker, beslutsfattare och journalister inför G20-arbetsgruppens möte.
Angriparna försöker att distribuera en variant av KopiLuwak backdoor Trojan till dessa G20-deltagare, för de ändamål för spaning och som en mellanstation för mer avancerade attacker, säger forskare vid Proofpoint.
Turla, en välkänd avancerade ihållande hot (APT) grupp tros ligga bakom attackerna.
Säkerhets-och sjukvårdspersonal anser gruppen är statsunderstödda och arbetar för att främja målen för den ryska regeringen-även om President Vladimir Putin hävdar att landet inte hacka på andra, trots anklagelser om inblandning i det AMERIKANSKA presidentvalet.
Den grupp som tidigare missbrukat satelliter för att täcka sina spår och har försökt att distribuera skadlig kod i kommentarerna på Britney Spears’ s Instagram-sida.
Nu koncernen försöker att sprida bakdörr pipett till dess G20 mål med hjälp av spear-phishing e-postmeddelanden som innehåller en “Save the Date” – inbjudan för ett G20-möte arbetsgruppen för den Digitala Ekonomin, som är inställd att äga rum i oktober.
Händelsen är verkliga, och de avsedda målen är att enskilda och organisationer med intresse för G20: s Digitala Ekonomin Task Force, inklusive diplomater, ekonomiska experter, och även pressen.
Den potentiellt stulna lura dokument används som en del av attacken.
Bild: Proofpoint
Forskare säger att de är “ganska säker” på att bjuda in är legitimt, vilket kan tyda på att en person med tillgång till inbjudan var redan äventyras”, vilket innebär att dokumentet har erhållits via en separat, men relaterade, hacka.
Ransomware: En verkställande guide till en av de största hot på webben
Allt du behöver veta om ransomware: hur det började, varför det är blomstrande, hur man skyddar sig mot det, och vad gör du om din DATOR är infekterad.
Läs Mer
Dokumentet fungerar som ett lockbete, som döljer en JavaScript-pipett används för att installera en JS decryptor på en infekterad dator och går sedan på dekryptera och köra KopiLuwak bakvägen, en särskilt robust verktyg i samband med Turla grupp.
Som heter Scr.js JS dropper sätter bakdörr på plats, förutom att ställa in planerade aktiviteter i syfte att upprätthålla den ständiga hot. Bakdörr kommunicerar med vad som verkar vara legitima, men äventyras, servrar, i egenskap av ledning och styrning för skadlig kod.
Figuranten dokument och tillhörande malware droppers upptäcktes av Proofpoint forskare Darien Huss, som hittade dem på en offentlig malware arkiv.
Medan inga attacker med hjälp av denna pipett har hittills setts i det vilda, i slutändan kampanjen är utformad för att ge angripare åtkomst till Datorer av mycket hög profil mål som är kopplade G20-arbetsgrupp, med möjlighet att övervaka och stjäla vad som kan vara extremt känslig information i samband med regeringar och politiska organ.
Förutom att exfiltrating data, KopiLuwak kan ladda ner ytterligare nyttolaster och har förmågan att exekvera godtyckliga kommandon. Forskarna säger att för de flesta Windows-operativsystem, den potentiella effekten skulle vara hög, särskilt med tanke på karaktären av dessa är riktade.
Proofpoint har anmält CERT-Bund, federal computer emergency response team i Tyskland, om Turla kampanj inför nästa månads Hamburg möte.
Relaterade täckning
Ryska malware kontroller gömmer sig i vanligt sikte-på Britney Spears’ s Instagram-sida
Hacka gruppen kunde direkt skadlig kod genom att lämna synpunkter på ett specifikt Instagram-inlägg.
Spårning Turla: Hackare missbruk satellit-signaler som är högt på himlen
En sofistikerad hacka gruppen är att använda satelliter på ett nytt sätt att dölja sina spår.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Cyberkrig: smart person ‘ s guide [TechRepublic]Gamla Moonlight Labyrint bakdörr remerges som moderna APTHackers nu använder utnyttja bakom WannaCry att snoka på hotel Wi-FiDid i Ryssland hacka bryta mot internationell lag? Även experter är inte sureNew Mac skadlig kod kopplad till ryska hackare av valet i USA [MAG]
0