Noll
En nyligen upptäckta “nation-state-nivå” cyber-spionage verksamhet har riktat sig till organisationer för humanitärt bistånd runt om i världen genom användning av dolda bakdörrar inom skadliga Word-dokument.
Dubbade Drift Honungsbins baserat på namnet på lure dokument som används under attackerna, kampanjen har upptäckts av säkerhet forskare vid säkerhetsföretaget McAfee Labs efter en ny variant av Systemteknik bakdörr för skadlig kod sågs som distribueras via phishing e-post.
Malware – vilket verkar använda en modifierad version av den ursprungliga Systemteknik, som först observerades i augusti – kan användas för att skapa en bakdörr in i den infekterade system, som sedan kan användas för att spionera på DATORN och göra det möjligt för angripare att stjäla data.
Systemteknik använder en FTP-server för kommando-och-kontroll och var tidigare sett används i andra kampanjer relaterade till Nordkorea-relaterade ämnen. Just denna kampanj började i januari och vissa fall av skadlig kod som distribueras i ett Word-dokument som beskriver författarens namn som “Honeybee’.
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Den skadliga handlingen innehåller ett Visual Basic-makro som när den är aktiverad, distribueras Systemteknik, som har varit aktiv som en familj av skadlig kod sedan augusti 2017. Ont uppsåt är gömda i kodad data i ett Visual Basic-Skript.
I ett fall, en skadlig handling som distribuerades med temat “Internationella Federationen för Röda Korset och Röda Halvmånen – NORDKOREA Land Office”, som om öppnas, droppar bakdörr implantat.
Lura dokument som används i Honungsbins kampanjer
Bild: McAfee
Under tiden, andra Honungsbins beten vara mer allmän, att bara berätta för offret som de behöver för att “aktivera innehåll” för att öppna dokumentet – ett billigt knep som används i många skadliga kampanjer för att uppmuntra till offer för att aktivera makron, vilket gör att skadlig kod körs.
Se också: Den framtida cyberkrig: Weaponised ransomware, IoT attacker och en ny kapprustning
“Malware är utformade för att samla information om målet är att systemet kan användas för spionage ändamål,” Ryan Sherstobitoff, senior analytiker – stora kampanjer på McAfee Avancerade Hot Research till ZDNet.
Förutom att den skadliga koden i sig, Drift Honungsbins är också utrustad med en Win32-baserade körbar dropper – heter MaoCheng i koden. Detta för utger sig för att vara ett Word-dokument, men använder en stulen digital signatur från Adobe Systems.
Syftet med detta är att hela processen av kompromiss att ske smidigare – och det verkar som att de MaoCheng Dropper har skapats speciellt för den här kampanjen.
“Detta är ett försök att kringgå förtroende mekanismer i Windows för att tillåta kod att exekvera blockeringen,” sade Sherstobitoff.
Forskare säger att den taktik som används av Honungsbins har tidigare setts som används i Sydkorea, men nu är hotet skådespelare är en utvidgning av tillämpningsområdet för sina attacker, med inriktning på humanitärt bistånd organisationer i länder som Vietnam, Singapore, Argentina, Japan, Indonesien, Kanada.
Ladda ner nu: Intrusion detection politik (gratis PDF)
McAfee har inte tillskrivas Drift Honungsbins it-attacker för att några specifika hot skådespelare – bara att notera att de som står bakom det talar koreanska. Men, de vill säga att kampanjen poäng mot arbete i en nation-state.
“Baserat på finess, fart till driftsättning och andra egenskaper så har detta kännetecken av ett land,” sade Sherstobitoff, som också sade Drift Honungsbins kan “potentiellt” kunna vara relaterat till den senaste Solen Laget anfaller.
Solen hacking Team operation riktad nordkoreanska avhoppare, tillsammans med stöd för grupper och individer som försöker hjälpa dem.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Spionage malware snoops för lösenord, gruvor bitcoin på sideWinter Os cyberattack utformats för att orsaka kaos [MAG]Detta dataintrång gang bara uppdaterat malware använder mot de BRITTISKA målSom är hotet av de aktörer som ansvarar för inriktning på större evenemang? [TechRepublic]Lazarus hacka gruppen stiger igen med nya bitcoin-stjäla it-angrepp mot bankerna
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0