Nul
Er Rusland, ved hjælp af hacking og misinformation for at forstyrre Vestlige nationer?
En hacking gruppen er opdateret cyber-angreb som en del af en kampagne rettet mod en Europæisk regering, som i, hvad er menes at være et fortsat forsøg på at udføre spionage og overvågning.
Den seneste kampagne, som har Lyst Bære gruppe-også kendt som Sofacy og APT28, og som menes at være knyttet til Kreml-har været afdækket af forskere på vagtselskab Palo Alto Networks.
Forskerne observerede kampagne, der finder sted på Marts 12, og så igen om 14 Marts. I disse angreb, Sofacy group anvender en opdateret version af DealersChoice, en platform, der udnytter en Flash-sårbarhed til at listende levere en ondsindet payload af trojan, malware.
Den opdaterede udgave af DealersChoice indeholder en ny skatteunddragelse teknik, som forskerne siger, at det ikke er blevet observeret før: Flash-objekt, indlæses kun, når en bestemt side af det dokument, der anvendes til at levere angreb ses.
Angreb mod den Europæiske offentlige organisation — forskere ikke har angivet, hvilket land målet er i — starte med spyd-phishing-e-mails med emnet “Defence & Security 2018 Konferencens Dagsorden’. De e-mails indeholder et Word-dokument med titlen “Defence & Security 2018 Konference Agenda.docx’.
Forskere bemærk, at angriberne har kopieret en dagsorden direkte fra en real-konference, der finder sted i STORBRITANNIEN i næste uge. Det er sandsynligt, at være blevet valgt til at appellere til særligt udvalgte individer inden for de mål regeringen.
Hvis brugeren åbner Microsoft Word vedhæftelse, Flash-objektet-som indeholder en action script der forsøger at installere skadelig nyttelast — vil kun køre, hvis nogen ruller ned til den tredje side af dokumentet.
Mens dette måske synes at være en risikabel tilgang til angriberne — selv hvis brugeren åbner det dokument, de kan ikke rulle gennem — forskerne siger, at det viser, hvordan de angribere, der er specielt skræddersyet til de lokker til at være interessant for specifikke mål.
“Dette tyder på, at Sofacy gruppe er overbevist om, at den målrettede individer ville være interesseret nok i indhold til at bladre gennem det,” sagde Robert Falcone, threat intelligence analytiker hos Unit 42.
Forskere siger, at grunden til skadelig Flash-objekt, der ikke kører, indtil brugeren når frem til den tredje side er fordi DealersChoice loader SWF er ikke aktiveret, indtil det vises på skærmen-en taktik, som aids ondsindet payload undgå afsløring. Den findes i form af en lille Flash-objekt, som ordet viser sig som en lille sort prik, — noget, som brugerne kan ikke give meget tanke til.
Flash-objektet vises som en lille sort prik i levering dokument.
Billede: Palo Alto Networks
Når den er aktiveret, kan denne Flash objekt behov for at kontakte en aktiv C2-server til at hente en ekstra Flash-objekt, som indeholder yderligere exploit-kode. Følgende objekt vil kontakte de samme C2 sever for ekstra kode.
Se også: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Hvis tidligere russiske hacking kampagner, der er noget at gå efter, er det ultimative mål for angrebet er til at listende kompromittere systemet og gøre det muligt for angribere at foretage overvågning og spionage.
Angrebet arbejder bygger på offeret kører med den sårbare version af Flash, der tjener som en påmindelse om, at organisationer, at de skal sikre, at systemer er lappet så hurtigt som muligt for at undgå at gå på kompromis. I dette tilfælde, en patch til at lukke Flash sikkerhedshuller har været tilgængelig i flere måneder.
Enhed 42 er forbundet med denne kampagne at Sofacy på grund af spor i levering dokument. Lokke er opført som senest ændret af en bruger ved navn ‘Nick Daemoji’, som det har været tilfældet i de foregående Sofacy/Fancy Bære kampagner.
Fordelingen taktik er også lignende andre kampagner ved Sofacy, som tidligere har lokket ofrene gennem dokumenter om sikkerhed og forsvar, konferencer.
De seneste og relaterede dækning
AMERIKANSKE valgkamp hack: Microsoft vinder seneste runde i retten mod Fancy Bære phishere
En amerikansk dommer har forbudt Fancy Bære hackere fra at angribe Microsoft ‘ s kunder.
Fancy Bjørn slår til igen: russiske hackere adgang til IAAF atleter og medicinske data i cyberattack
Fortrolige medicinske data om atleter, der “synes at have været fjernet fra serveren” af verdens atletik styrende organ.
Microsoft retten sejr over Fancy Bære samler hackere’ domæner
Redmond er ved hjælp af taktik, at det har ansat før at bringe ned store botnets.
LÆS MERE OM IT-KRIMINALITET
Snigende malware rettet mod ambassader i snooping campaignHow OS cybersleuths besluttet Rusland hacket DNC [CNET]russisk hacking kampagne er målrettet mod G20-deltagere med booby-fanget invitesMalware kampagne er målrettet mod sikkerhed forskere med falske cyber-konference-dokument [TechRepublic]Mystiske cyber spionage kampagne bruger ‘torpedo’ lokke til at narre dig til at downloade malware
Relaterede Emner:
EU
Sikkerhed-TV
Data Management
CXO
Datacentre
0