Zero
È la Russia utilizzando l’hacking e la disinformazione a disturbare le nazioni Occidentali?
Un gruppo di hacker è utilizzare un aggiornamento dei cyber-attacchi, come parte di una campagna mirata a un governo Europeo, in quello che è pensato per essere un continuo tentativo di condotta di spionaggio e sorveglianza.
L’ultima campagna di Fantasia Orso di gruppo, noto anche come Sofacy e APT28, e crede di essere legato al Cremlino, è stato scoperto dai ricercatori della società di sicurezza di Palo Alto Networks.
I ricercatori hanno osservato la campagna si svolge il 12 Marzo, e poi ancora il 14 Marzo. In questi attacchi, il Sofacy gruppo si avvale di una versione aggiornata di DealersChoice, una piattaforma che sfrutta una vulnerabilità di Flash di soppiatto fornire un payload dannoso di trojan malware.
Aggiornato incarnazione di DealersChoice contiene un nuovo evasione tecnica, che i ricercatori dicono che non è stato osservato prima: l’oggetto Flash solo quando carichi una pagina specifica del documento dannoso utilizzato per fornire l’attacco è visto.
Download now: guida ad attacchi informatici di recupero
Gli attacchi contro il governo Europeo organizzazione — i ricercatori non hanno specificato di quale paese di destinazione è in — partire con una spear-phishing e-mail con la materia di Difesa e Sicurezza 2018 ordine del giorno della Conferenza’. Le e-mail contengono un documento di Word, dal titolo “Difesa e Sicurezza Del 2018 Conferenza Agenda.docx’.
I ricercatori di notare che gli aggressori hanno copiato un ordine del giorno direttamente da una vera e propria conferenza che si svolgerà nel regno UNITO la prossima settimana. È probabile che sono stati selezionati per appello appositamente scelti gli individui all’interno del target del governo.
Se l’utente apre l’allegato di Microsoft Word, il Flash in oggetto, che contiene un action script che tenta di installare il payload dannoso — verrà eseguito solo se qualcuno di scorrere verso il basso per la terza pagina del documento.
Mentre questo potrebbe sembrare un approccio rischioso per gli attaccanti, anche se l’utente apre il documento, che non può scorrere — i ricercatori dicono che si dimostra come gli attaccanti appositamente su misura le esche per essere interessante per obiettivi specifici.
“Questo suggerisce che l’Sofacy gruppo è convinto che gli individui mirati sarebbe abbastanza interessati nel contenuto a sfogliare attraverso di esso,” ha detto Robert Falcone, threat intelligence analyst a 42 Unità.
I ricercatori dicono che i maligni oggetto Flash non viene eseguito fino a quando l’utente raggiunge la terza pagina è perchè il DealersChoice SWF loader non è attiva finché non viene visualizzato sullo schermo — una tattica che aiuti il payload dannoso per evitare il rilevamento. Esiste nella forma di un piccolo oggetto Flash che parola viene visualizzato come un piccolo puntino nero — qualcosa che gli utenti non possono dare molto pensiero.
L’oggetto Flash che appare come un piccolo puntino nero nel documento di consegna.
Immagine: Palo Alto Networks
Una volta attivato, questo Flash oggetto ha bisogno di un contatto con un attivo C2 server per scaricare un ulteriore oggetto Flash che contiene sfruttare ulteriormente il codice. A seguito di ciò, l’oggetto metterà in contatto con lo stesso C2 sever per il codice aggiuntivo.
Vedi anche: che Cosa è il malware? Tutto quello che devi sapere su virus, trojan e malware
Se il precedente hacking russo campagne di qualcosa per andare avanti, l’obiettivo finale dell’attacco è di soppiatto compromettere il sistema e consentono di condurre la sorveglianza e spionaggio.
L’attacco di lavoro si basa sulla vittima esegue una versione vulnerabile di Flash, che serve come promemoria per le organizzazioni che devono garantire sistemi di patch il più presto possibile per evitare di compromettere. In questo esempio, una patch per chiudere il Flash buchi di sicurezza è disponibile per mesi.
Unità di 42 ha legato a questa campagna per Sofacy a causa di indizi nel documento di consegna. Il richiamo è elencato come da ultimo modificata da un utente di nome Nick Daemoji’, che è stato il caso nel precedente Sofacy/Fantasia Orso campagne.
La distribuzione tattiche sono simili ad altre campagne da Sofacy, che in passato hanno attirato vittime attraverso documenti relativi alla sicurezza e alla difesa conferenze.
Recente e relativa copertura
Elezioni USA hack: Microsoft vince ultimo round in tribunale contro di Fantasia Orso phisher
Un giudice ha vietato la Fantasia Orso agli hacker di attaccare i clienti di Microsoft.
Fantasia Orso colpisce ancora: hacker russi accedere atleti IAAF’ di dati medici in attacco
Dati medici sensibili degli atleti “sembra essere stato rimosso dal server” del mondo di atletica leggera organo di governo.
Microsoft tribunale vittoria sulla Fantasia Orso recupera hacker’ domini
Redmond è l’utilizzo di tattiche che ha assunto prima di portare giù grande botnet.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Furtivo malware obiettivi ambasciate in snooping campaignHow NOI cybersleuths deciso Russia violato la DNC [CNET]russo hacking campagna obiettivi del G20 i partecipanti sotto la spada di damocle invitesMalware campagna obiettivi di ricercatori di sicurezza fasulli cyber conferenza documento [TechRepublic]Misterioso cyber spionaggio campagna utilizza il ‘siluro’ esca per ingannare l’utente a scaricare malware
Argomenti Correlati:
UE
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0