Nul
James Martin | CNET
De KHRAT Trojan is gespot targeting burgers van Cambodja met nieuwe mogelijkheden en wapens.
De Remote Access Trojan (RAT) is in het wild voor enige tijd, maar dit jaar, meer moderne varianten zijn ontstaan.
Volgens Palo Alto Networks’ Unit 42 security team, KHRAT wordt momenteel gebruikt door dreigingen te richten Cambodjaanse burgers, met als doelstelling het tot slaaf maken van Pc ‘ s, het stelen van informatie, inclusief de systeem-taal en IP-adres en spionage door het gebruik van keylogging, screenshots, en remote shell toegang.
In een blog post, de groep zei: er is een stijging in activiteit in de afgelopen maanden, terwijl de eerste surge tegen Cambodjaanse slachtoffers werd ontdekt terug in juni.
KHRAT wordt nu ingezet door verse spam en phishing campagnes, met frauduleuze e-mails met bewapende bijlagen met betrekking tot de Mekong Integrated Water Resources Management Project (MIWRMP), een miljoen dollar van de regeling wordt gefinancierd door de wereldbank, die momenteel wordt ingezet op het verbeteren van water-en visserijbeheer in het noordoosten van Cambodja.
Een kwaadaardig document wordt gebruikt, het verspreiden van de RAT heet “Missie Aankondiging Brief voor MIWRMP fase drie van ondersteuning bij de implementatie van de missie, juni 26-30, 2017(update).doc,” dat betrekking heeft op het project in zijn huidige ontwerp.
De bijlage, echter in contact met een russische IP-adres en de domein-update.uploaden-dropbox[.]com om te dupe slachtoffers te laten geloven dat ze aansluiten op de legitieme Dropbox cloud opslag dienst.
Daarnaast is de malware was ook gehost op de Cambodjaanse Regering de website op een moment dat de domeinnaam is aangetast.
Eenmaal gedownload en geopend, wordt het gemaakt Word document dan de claims van de gebruiker Office-versie is niet compatibel, dus ze moeten op een link klikt vergunning macro-inhoud die wordt uitgevoerd voor de Trojan.
KHRAT vervolgens zet extra kwaadaardige code payloads, wijzigt de in het register van Windows, en maakt persistentie door het forceren van Microsoft Word opnieuw uitvoeren van de Trojan moet een document worden herladen van de meest recent gebruikt document lijst.
De Trojan ook maskers zijn activiteiten met behulp van de legitieme regsvr32.exe programma, schema ‘ s een bereik van onschuldig uitziende taken, en zorgt voor het aanroepen van functies JavaScript-code.
Een interessant aspect van de Trojan gevonden binnen de druppelaar code is een link naar een blog gehost op de Chinese Software Developer Network (CSDN) website die een “bijna identiek” code voorbeeld van een click-tracking systeem in de malware.
“De JavaScript-code in probe_sl.js maakt gebruik van een click-tracking techniek, vermoedelijk zodat de acteurs kan monitor die een bezoek aan hun site,” de onderzoekers opmerking. “Het kan ook een poging om de controle over de distributie van later stadium malware en gereedschappen, door alleen te sturen in antwoord op vragen van het gewenste slachtoffers of kwetsbare systemen, en vallen de verzoeken van anderen, zoals de onderzoekers.”
Palo Alto Networks is van mening dat de dreiging acteurs achter KHRAT hebben ontwikkeld de Trojan te zijn gericht spear phishing en klik op volgen om meer succesvol te richten slachtoffers van belang in Cambodja.
Gezien het politieke karakter van de spear phishing e-mails, de campagnes kan het doel van bespioneren politieke rivalen of het verstoren van de politieke activiteit.
“Dit zijn de meeste recente campagne van de hoogtepunten van social engineering technieken worden gebruikt met een verwijzing en detail gegeven aan landelijke activiteiten, waarschijnlijk voorhoede van de volkeren’ gedachten,” zeggen de onderzoekers. “Wij geloven dat deze malware, de infrastructuur die wordt gebruikt, en de TTPs (tactieken, technieken en procedures) voor het markeren van een meer geavanceerde bedreiging acteur groep, die we zullen nauwlettend blijven volgen.”
Meer nieuws over beveiliging
iOS 11 de meest onderschatte functie beveiliging? Een wachtwoord manager
Android Oreo: Google voegt meer Linux kernel security functies
Deze gigantische ransomware campagne stuurde miljoenen malware-verspreiding van e-mails
HackerOne wil betalen bug bounty hunters $100 miljoen in 2020
0