Hackers richten de onderzoekers van de veiligheid met malware geïnfecteerde document

0
139

Nul

State-back-hackers zijn blijkbaar targeting security onderzoekers met hun nieuwste campagne, die gebruik maakt van een document reclame te maken voor een conferentie over cyberveiligheid als de lokken.

Beveiliging onderzoekers worden verzonden van een kwaadaardig document met de titel ‘Conference_on_Cyber_Conflict.doc’ die informatie bevat over een AMERIKAANSE security conference. Tijdens de conferentie is echt, het document is niet van de organisatoren: het maakt gebruik van inhoud geript van de conferentie website en geplaatst in een Word-document.

De aard van de verleiding die de hackers gebruiken betekent dat ze waarschijnlijk te richten op mensen die geïnteresseerd zijn in, of gekoppeld aan, cybersecurity.

De campagne is ontdekt door onderzoekers van Cisco Talos, die zijn toegeschreven aan een operatie die ze verwijzen als Groep 74-ook bekend als APT28, Sofacy en Mooie Beer-een russische hacken collectieve, met banden met het Kremlin.

cybersec-conference-lure-doc.png

De verleiding document bevat informatie die is geschreven door en logo ‘ s van de echte conferentie-organisatoren.

Afbeelding: Cisco Talos

De malware variant dat zich binnen de kwaadaardige document, Seduploader, is gebruikt in vorige campagnes door Fancy Beer, en wordt vaak gebruikt voor het neerzetten van malware voor de toepassing van spionage.

“Dit is duidelijk een poging te profiteren van de geloofwaardigheid van het Leger Cyber-Instituut en de NAVO CCDCOE om gericht hooggeplaatste ambtenaren en deskundigen van cyber security,” zei een CCDCOE woordvoerder.

Seduploader is in staat van het nemen van screenshots, exfiltrating gegevens, de uitvoering van code, het downloaden van de extra bestanden en nog veel meer-allemaal heel veel suggereert het doel van spionage en het stelen van informatie van slachtoffers.

Zie ook: Cyberwar: Een gids voor de angstaanjagende toekomst van online conflict

In tegenstelling tot in vorige campagnes door de groep, de kwaadaardige document bevat geen Kantoor te exploiteren of een zero-day. Integendeel, het maakt gebruik van een kwaadaardige Visual Basic for Applications (VBA) – macro, ontworpen om code uit te voeren binnen de geselecteerde toepassing, in dit geval in Microsoft Word.

Dit illustreert de mate waarin de aanvallers van het onderzoek nieuws en evenementen met betrekking tot hun gewenste doelen om vaartuigen die de meest overtuigende lokken, zoals in deze campagne, die op het gebied van cybersecurity.

Hoewel het lijkt gedurfd om rechtstreeks gericht op personen in de security-industrie, als iemand wel vallen voor de verleiding, de aanvallers konden verzamelen zeer nuttige informatie.

Verwante dekking

Mysterieuze cyber spionage campagne maakt gebruik van de ‘torpedo’ lokken om u te verleiden tot het downloaden van malware

Onderzoekers van Proofpoint zeggen dat de ‘Leviathan’ bedreiging van de groep is regelmatig de lancering van phishing-en malware-aanvallen in een poging tot het stelen van gevoelige gegevens

Deze goedkope en vervelende malware wil stelen van uw gegevens

FormBook malware adverteert met een ‘uitgebreide en krachtige internet monitoring ervaring’ voor een relatief lage kostprijs, waardoor zelfs bij lage niveau van de aanvallers te verspreiden kwaadaardige malware.

Deze ransomware-het verspreiden van botnet nu screengrab uw desktop

Nieuwe lading gebundeld binnen Necurs botnet-aanvallen die het uitvoeren van kwaadaardige campagnes om te controleren of ze werken en het verbeteren van updates.

LEES MEER OVER CYBERCRIMINALITEIT

Hackers race gebruik van Flash-exploit voor kwetsbare systemen zijn patchedVisualizing de russische cyberaanval [TechRepublic]Fancy Beer slaat weer toe: de russische hackers toegankelijk IAAF-atleten’ medische gegevens in cyberattackHow cybersleuths besloot Rusland was achter ONS verkiezing hack [CNET]Kwaadaardige malware richt zich op de ambassades in spionage campagne

0