Nul
James Martin | CNET
Den KHRAT Trojan er blevet spottet henvender sig til borgerne i Cambodja med nye evner og våben.
Fjernadgang Trojan (ROTTE) har været i naturen i et stykke tid, men dette år, mere moderne varianter er dukket op.
I henhold til Palo Alto Networks’ Enhed 42 security team, KHRAT er i øjeblikket anvendes af trussel aktører til at målrette Cambodjanske borgere, med det overordnede formål, at trælbinde Pc ‘ er, stjæle oplysninger, herunder system sprog og IP-adresse, og spionage gennem brug af keylogging, screenshots, og remote shell-adgang.
I et blog-indlæg, gruppen sagde, at der har været en uptick i aktiviteter i de seneste måneder, mens den første bølge mod Cambodjanske ofre blev opdaget tilbage i juni.
KHRAT er nu ved at blive implementeret gennem friske spam-og phishing-kampagner, med bedrageriske e-mails, der indeholder weaponized vedhæftede filer om til Mekong Integreret Forvaltning af vandressourcer Projekt (MIWRMP), en million-dollar ordningen finansieres af verdensbanken, som i øjeblikket anvendes til at forbedre vand-og forvaltning af fiskeriet i det Nordøstlige Cambodia.
Et dokument, der anvendes til at sprede ROTTE hedder “Mission Meddelelse Brev til MIWRMP fase tre implementering støtte mission, 26-30 juni, 2017(update).doc”, som vedrører projektet i sin nuværende udformning fase.
Den vedhæftede fil, men kontakter en russisk IP-adresse og bruger domænet opdatering.upload-dropbox[.]kom med henblik på at narre ofre til at tro, de er forbundet til den legitime Dropbox cloud storage service.
Desuden, malware var også vært på den Cambodjanske Regerings hjemmeside på et tidspunkt, det domæne, der blev kompromitteret.
Når du har downloadet og åbnet, udformet Word-dokument, så hævder brugerens Office-version er ikke kompatibel, så de skal klikke på et link og tillader makro indhold, som udfører den Trojanske hest.
KHRAT derefter udsender yderligere skadelig kode nyttelast, ændrer Windows-registreringsdatabasen og skaber vedholdenhed, ved at tvinge Microsoft Word til at re-kør Trojan bør et dokument, genindlæses fra den senest anvendte nummer listen.
Den Trojanske hest også masker sine aktiviteter ved hjælp af legitime regsvr32.exe program, tidspunkter en række uskyldigt udseende opgaver, og skaber kalde funktioner til at køre JavaScript-kode.
Et interessant aspekt af den Trojanske fundet inden for de dropper kode er et link til en blog hostet på den Kinesiske Software Developer Network (CSDN) hjemmeside, som indeholder en “næsten identiske” kode prøve af et klik-system til sporing af i malware.
“Den JavaScript-kode i probe_sl.js bruger et klik-tracking teknik, formentlig så de aktører, der kan overvåge, hvem der besøger deres site,” bemærker forskerne. “Det kan også være et forsøg på at styre fordelingen af senere tidspunkt malware og værktøjer, ved kun at sende det til at imødekomme anmodninger fra de ønskede ofre eller sårbare systemer, og slippe anmodninger fra andre, sådan som forskere.”
Palo Alto Networks mener, at truslen aktører bag KHRAT har udviklet sig i den Trojanske til at omfatte målrettede spear phishing-og-klik-tracking i for mere held mål ofre for interesse i Cambodja.
I betragtning af den politiske natur af spear phishing e-mails, kampagner kan have til formål af spionage på rivaler, eller afbrydelse af politisk aktivitet.
“Denne seneste kampagne sætter fokus på social engineering teknikker, der anvendes med henvisning og store detaljer, der gives til landsdækkende aktiviteter, der kan tænkes at være forkant med folk,” siger forskerne. “Vi mener, at denne malware, den infrastruktur, der bliver brugt, og TTPs (taktik, teknikker og procedurer) fremhæver en mere sofistikerede trussel skuespiller gruppe, som vi vil fortsætte med nøje at overvåge.”
Mere sikkerhed nyheder
iOS 11 ‘ s mest undervurderede sikkerhed funktion? En password manager
Android Oreo: Google tilføjer i flere Linux-kernen sikkerhed funktioner
Denne gigantiske ransomware kampagne lige sendt millioner af malware spredning af e-mails
HackerOne sigter mod at betale bug bounty hunters $100 millioner i 2020
0