Noll
En hacka gruppen är med hjälp av uppdaterade it-angrepp i en kampanj som riktar sig till en Europeisk regering i vad som sannolikt kommer att fortsatta försök för att bedriva spionage och övervakning.
Den senaste kampanjen Fancy Bära grupp – även känd som Sofacy och APT28 och tros vara kopplade till Kreml – har upptäckts av forskare vid säkerhetsföretaget Palo Alto Networks, som observerade en kampanj som äger rum den 12 Mars då igen den 14 Mars.
I dessa attacker, Sofacy grupp är att anställa en uppdaterad version av DealersChoice, en plattform som syftar till att utnyttja ett Flash sårbarhet för att i smyg leverera en skadlig nyttolast i form av trojan malware.
Den uppdaterade versionen av DealersChoice innehåller en ny skatteflykt teknik som säger forskarna har inte observerats före – Flash-objekt laddas bara när en viss sida av skadliga dokument som används för att göra leveransen attacken ses.
Attacker mot den Europeiska organisationen – forskare har inte angett vilket land som är målet i – börja med spear-phishing e-post med frågan om “Försvar & Säkerhet 2018 Conference Agenda” som innehåller ett Word-dokument med titeln “Försvar & Säkerhet 2018 Konferens Agenda.docx”
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Forskarna notera att angriparna har kopierat en agenda direkt från en riktig konferens som äger rum i STORBRITANNIEN nästa vecka. Det är sannolikt att ha blivit utvalda att vädja till speciellt utvalda mål i de mål regeringen.
Om användaren öppnar Microsoft Word-fil, Flash-objekt som innehåller en action script för att försöka installera den skadliga koden kommer att bara köra om någon scrollar ner till den tredje sidan i dokumentet.
Medan detta kan tyckas vara en riskabel strategi för angriparna – även om användaren öppnar dokumentet, de kan inte bläddra igenom – forskare säger att det visar hur angriparna speciellt skräddarsy beten för att vara intressant för specifika mål.
“Detta tyder på att Sofacy gruppen är övertygad om att det målinriktade individer skulle vara tillräckligt intresserade av innehåll att ta del av genom det,” sade Robert Falcone, hot intelligens analytiker på Enheten 42.
Forskare säger att anledningen till att skadlig Flash-objektet inte köra tills användaren når den tredje sidan är att den DealersChoice loader SWF inte är aktiverad tills det visas på skärmen – en taktik som hjälpmedel den skadliga koden undvika upptäckt.
Det föreligger i form av en liten Flash-objekt som ordet visas som en liten svart prick – något som användarna ger kanske inte mycket tänkt.
Flash-objekt som syns som en liten svart prick i leverans-dokument.
Bild: Palo Alto Networks
När det är aktiverat, det här Flash-objektet måste du kontakta en aktiv C2-server för att ladda ner ett extra Flash-objekt som innehåller ytterligare utnyttja koden och efter det, kommer objektet att kontakta samma C2 sever för ytterligare kod.
Se även: it-Brottslighet och cyberkrig: En spotter guide till de grupper som är ute efter att få dig
Om tidigare ryska hacka kampanjer är något att gå efter, det yttersta målet för attacken är att i smyg kompromiss systemet och göra det möjligt för angripare att bedriva övervakning och spionage.
Attacken arbetar förlitar sig på offret som kör en sårbar version av Flash, som fungerar som en påminnelse till organisationer som de bör se till att systemen är fixad så snart som möjligt för att undvika kompromiss. I detta fall, en patch för att stänga Flash säkerhetshål har funnits i månader.
Enhet 42 har länkat denna kampanj för att Sofacy på grund av ledtrådar i leverans-dokument. Lockelsen är listad som förra ändras av en användare med namnet ‘Nick Daemoji”, vilket har varit fallet i tidigare Sofacy/Fancy Bära kampanjer.
Fördelningen taktik är också liknar andra kampanjer genom att Sofacy, som tidigare lockade offer med hjälp av handlingar som rör säkerhet och försvar konferenser.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Smygande malware mål ambassader i snooping campaignHow OSS cybersleuths beslutat Ryssland hackad DNC [MAG]ryska hacka kampanj är inriktad på G20-deltagare med booby-fångade invitesMalware kampanj är inriktad på säkerhet forskare med falska it-konferens-dokumentet [TechRepublic]Mystiska it-spionage kampanj använder “torped” som lockbete för att lura dig till att hämta skadlig kod
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0