Nul
Een hacken van de groep is met de bijgewerkte cyber-aanvallen in een campagne gericht op een Europese regering in wat waarschijnlijk zijn verdere pogingen om het gedrag van spionage en surveillance.
De nieuwste campagne van de Fancy Beer groep – ook bekend als Sofacy en APT28 en verondersteld worden gekoppeld aan het Kremlin – er is ontdekt door onderzoekers van beveiligingsbedrijf Palo Alto Networks, en merkte een campagne vindt plaats op 12 Maart dan weer op 14 Maart.
In deze aanvallen, de Sofacy groep zijn in dienst van een bijgewerkte versie van DealersChoice, een platform dat ontworpen is om misbruik te maken van Flash kwetsbaarheid om heimelijk het leveren van een kwaadaardige lading in de vorm van een trojan malware.
De bijgewerkte versie van DealersChoice bevat een nieuwe fraude-techniek die de onderzoekers zeggen nog niet is waargenomen voor – het Flash-object alleen wordt geladen wanneer een specifieke pagina van de kwaadaardige document gebruikt worden om de levering van de aanval wordt gezien.
Aanvallen tegen de Europese overheid organisatie – onderzoekers nog niet opgegeven in welk land het slachtoffer in – beginnen met spear-phishing e-mails met het onderwerp van “Defensie & Veiligheid 2018 Conferentie-Agenda” die bevatten een Word-document, getiteld “Defensie & Veiligheid 2018 Conferentie Agenda.docx”
Zie ook: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
De onderzoekers concludeerden dat de aanvallers hebben gekopieerd van een agenda direct van een echte conferentie plaats in het verenigd koninkrijk de komende week. Het is waarschijnlijk te hebben gekozen om een beroep op speciaal geselecteerde doelstellingen binnen de doelstelling van de overheid.
Als de gebruiker hiermee opent u het Microsoft Word-bijlage, wordt het Flash-object met een action script probeert te installeren van de kwaadaardige lading wordt alleen uitgevoerd als iemand omlaag schuiven naar de derde pagina van het document.
Hoewel dit lijkt misschien een riskante aanpak voor de aanvallers – zelfs als de gebruiker het document opent, kunnen zij niet blader door – onderzoekers zeggen dat het laat zien hoe de aanvallers speciaal op maat van de kunstaas om interessant te zijn voor specifieke doelen.
“Dit suggereert dat de Sofacy groep is ervan overtuigd dat de gerichte individuen zou voldoende geïnteresseerd in de inhoud van inzage in,” zei Robert Falcone, threat intelligence analist bij Unit 42.
Onderzoekers zeggen dat de reden van de kwaadaardige Flash-object niet uitgevoerd totdat de gebruiker op de derde pagina is omdat de DealersChoice SWF loader is niet geactiveerd totdat het wordt weergegeven op het scherm – een tactiek die de aids van de kwaadaardige lading detectie vermijden.
Het bestaat in de vorm van een kleine Flash-object dat woord wordt weergegeven als een kleine, zwarte stip – iets dat gebruikers niet veel over nagedacht.
Het Flash-object wordt weergegeven als een kleine, zwarte stip in het leveringsdocument.
Afbeelding: De Palo Alto Networks
Eenmaal geactiveerd, deze Flash-object moet u contact opnemen met een actief C2-server te downloaden van een extra Flash-object met extra exploit code en de volgende die het object zal contact opnemen met de dezelfde C2 sever voor extra code.
Zie ook: Cybercrime en cyberwar: Een spotter, de gids voor de groepen die erop uit zijn om u te krijgen
Als de vorige russische hacken campagnes zijn iets te gaan, het ultieme doel van de aanval is om stiekem te compromis het systeem en de aanvallers uitvoeren van toezicht en spionage.
De aanval van werken is gebaseerd op het slachtoffer het uitvoeren van een kwetsbare versie van Flash, die dient als een herinnering aan de organisaties die ze moeten ervoor zorgen dat systemen patch zo snel mogelijk om te voorkomen dat een compromis. In dit geval, een patch te sluiten van de Flash gaten in de beveiliging is beschikbaar voor maanden.
Unit 42 heeft verbonden deze campagne te Sofacy gevolg van aanwijzingen in de levering document. De verleiding is opgenomen, zoals laatst gewijzigd door een gebruiker met de naam ‘Nick Daemoji’, dat is het geval in de vorige Sofacy/Bear Fancy campagnes.
De verdeling tactieken zijn ook vergelijkbaar met andere campagnes door Sofacy, die eerder gelokt slachtoffers met het gebruik van documenten met betrekking tot veiligheids-en defensie-conferenties.
LEES MEER OVER CYBER CRIME
Kwaadaardige malware richt zich op de ambassades in snooping campaignHow ONS cybersleuths besloot Rusland gehackte de DNC [CNET]russische hacken campagne van de G20 deelnemers met booby-trapped invitesMalware campagne security onderzoekers met valse cyber conferentie document [TechRepublic]Mysterieuze cyber spionage campagne maakt gebruik van de ‘torpedo’ lokken om u te verleiden tot het downloaden van malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0