Nul
Een nieuw ontdekt ‘natie-staat ‘niveau’ cyber spionage operatie gericht op humanitaire hulp organisaties over de hele wereld via het gebruik van verborgen backdoors binnen kwaadaardige Word-documenten.
Nagesynchroniseerde Werking Honingbij op basis van de naam van het lokken van de documenten die zijn gebruikt tijdens de aanvallen, de campagne is ontdekt door security-onderzoekers van beveiligingsbedrijf McAfee Labs na een nieuwe variant van de Syscon backdoor malware gespot werd verspreid via phishing e-mails.
De malware – waarin wordt gebruik gemaakt van een gemodificeerde versie van de originele Syscon voor het eerst waargenomen in augustus – kan worden gebruikt voor het maken van een backdoor in het systeem besmet, die vervolgens kunnen worden gebruikt om te spioneren op de PC en aanvallers in staat kan zijn om gegevens te stelen.
Syscon gebruikt een FTP-server voor command-and-control-doeleinden, en werd eerder gezien worden gebruikt in andere campagnes ook in verband met Noord-Korea verwante onderwerpen. Deze bijzondere campagne begonnen in januari en enkele exemplaren van de malware wordt verspreid in een Word-document waarin de details van de naam van de auteur als ‘Honingbij’.
Zie ook: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
De kwaadaardige document bevat een Visual Basic-macro die, wanneer ingeschakeld, verdeeld Syscon, die actief is geweest als een malware-familie die sinds augustus 2017. De opzet is verborgen in gecodeerde gegevens in een Visual Basic Script.
In één geval, een kwaadaardig document werd verspreid met het onderwerp “de Internationale Federatie van Rode Kruis en Rode halve maan-Verenigingen – DVK Land Office,” die, indien geopend, daalt de achterdeur implantaten.
Lokken document gebruikt in Honingbij campagnes,
Afbeelding: McAfee
Ondertussen zijn er andere Honingbij kunstaas blijven, meer generieke, gewoon het vertellen van het slachtoffer ze moeten ‘inhoud’ om het document te openen – een goedkope truc gebruikt in veel malware campagnes te moedigen slachtoffers inschakelen van macro ‘ s, waardoor de malware uit te voeren.
Zie ook: De toekomst van cyberwar: Weaponised ransomware, IoT aanvallen en een nieuwe wapenwedloop
“De malware is ontworpen om informatie te verzamelen over het doel van het systeem die kunnen worden gebruikt voor spionage-doeleinden,” Ryan Sherstobitoff, senior analist – grote campagnes op McAfee Advanced Threat Research vertelde ZDNet.
Naast de malware zelf, de Werking Honingbij is ook uitgerust met een Win32-gebaseerd uitvoerbaar dropper – naam MaoCheng in de code. Ook dit doet zich voor als een Word-document, maar maakt gebruik van een gestolen digitale handtekening van Adobe Systems.
Het doel hiervan is om het hele proces van het compromis te worden uitgevoerd meer soepel en het blijkt dat de MaoCheng Druppelaar is speciaal gemaakt voor deze campagne.
“Dit is een poging om een bypass om het vertrouwen mechanismen in Windows om de code uit te voeren gedeblokkeerd,” zei Sherstobitoff.
Onderzoekers zeggen dat de tactieken die gebruikt worden door de Honingbij hebben eerder gezien worden ingezet in Zuid-Korea, maar nu de dreiging acteur is uitbreiding van het toepassingsgebied van de aanvallen, gericht op humanitaire hulp organisaties in landen zoals Vietnam, Singapore, Argentinië, Japan, Indonesië en Canada.
Download nu: Intrusion detection beleid (gratis PDF)
McAfee is niet toegeschreven aan de Werking van de Honingbij cyber-aanvallen om een specifieke dreiging acteur – alleen op te merken dat de mensen achter het spreken koreaans. Echter, ze zeggen dat de campagne wijst in de richting van het werk van een natie-staat.
“Op basis van de complexiteit, snelheid van implementatie en andere kenmerken, dit heeft de kenmerken van een natie-staat,” zei Sherstobitoff, die ook zei dat de Werking Honingbij zou “mogelijk” worden in verband met de recente Zon Team aanvallen.
De Zon Team hacken werking gerichte Noord-koreaanse overlopers, samen met de steun van groepen en individuen proberen om hen te helpen.
LEES MEER OVER CYBER CRIME
Spionage malware meekijkers voor wachtwoorden, mijnen bitcoin op de sideWinter Olympische spelen cyberaanval ontworpen om chaos te veroorzaken [CNET]Deze hack bende bijgewerkt de malware gebruikt het tegen de BRITSE doelenDie de dreiging actoren die verantwoordelijk zijn voor het richten van de belangrijkste gebeurtenissen? [TechRepublic]Lazarus hacken van de groep stijgt weer met nieuwe bitcoin-het stelen van cyberaanvallen tegen banken
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0