Noll
En nyligen upptäckta hacka kampanj är inriktad på industrier inklusive frakt och transport på grund av cyber-spionage-med säkerhet forskare pekar på en väl finansierad och duktiga drift arbetar utanför Kina som den skyldige.
Angriparna har skickat tusentals phishing e-post laddad med trojan malware — i första hand till organisationer i Indien, Saudiarabien och Sydöstra Asien, med avsikt att lura användare till att installera en skadlig nyttolast utrustade med förmågan att stjäla inloggningsuppgifter och loggar tangenttryckningar från infekterade system.
Upptäckt av forskare vid bevakningsföretag LMNTRIX kampanjen har kallats “Särskilda Örat”, efter en av de fraser som planteras i den skadliga koden. Särskilda Örat har varit verksamt sedan Maj i år och ger angripare med fjärråtkomst till komprometterade datorer.
Den skadliga e-postmeddelanden som utgör meddelanden som regelbundet ses av företag-såsom beställningar. En teknik angriparna använder i ett försök att göra de meddelanden som ser mer äkta är att använda top-level domain av landet spam är inriktad på.
En “Special Öra” phishing e-post.
Bild: LMNTRIX
Till exempel, om målen i Indien är riktade från en adress med ett “.co.i” domän, medan spam-mail som sänds till organisationer som i Saudiarabien, som innehöll en “.com.sa” – domän.
“Denna anpassning visar en nivå av förfining som angriparna försöker ge e-post till en känsla av legitimitet,” forskarna säger.
Och som levereras via en Bärbar Körbara filen, skadlig kod i sig är en Trojan:MSIL variant-en familj av skadlig kod som har varit verksamt sedan 2010.
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
“Malware är ett specialbyggt Trojan,” Bipro Bhattacharjee, leda hot forskare vid LMNTRIX berättade ZDNet.
Medan WHOIS-register av spam e-postmeddelanden som tyder på att attackerna kommer från Nederländerna, har forskare tillskrivs kampanjen för att hackare i Kina.
“Den Kinesiska fraser och deras alltför framträdande i den Portabla Körbara filen innebära ett Kinesiskt ursprung. I nästan varje fall där Kinesiska tecken kan användas, var de används-detta är en vanlig förvirring teknik för Kinesiska hotet aktörer,” sade Bhattacharjee.
Användning av Kinesiska tecken är där för att förvirra analytiker och forskare som inte har en förståelse av språket genom att göra det svårare att granska koden. Det tyder också på att göra koden svårt att analysera bedöms av den grupp som är mer värdefullt än att dölja ursprunget av kampanjen.
“Som regionen mål för kampanjen var icke-Kinesiska engelsktalande länder, tror vi prioriterade var att dölja koden funktionalitet, snarare än att kampanjen är Kinesiskt ursprung,” sade Bhattacharjee.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Analys av koden bakom skadlig kod — som använder .NET Framework — upptäckte att använda Kinesiska tecken, hela, av vilka många verkar vara slumpmässiga ord och fraser som är speciellt insatt i för att göra det svårare för forskare att studera. En av de slumpmässiga fraser som översätts till “Special Öra” — därav namnet på den kampanj.
Malware är också utformad för att fördunkla alla API-anrop för att hjälpa till att dölja sin skadliga aktiviteter.
Forskare har ännu inte bestämt om någon av de mål som har fallit offer för kampanjen och det installerade nyckel-loggning skadlig kod, men också varna för att det är inte bortom mån av möjlighet som inte alla antivirusprogram identifierar skadlig kod. “Den fulla omfattningen av kampanjen är fortfarande att bli upptäckt,” sade Bhattacharjee.
Forskare rekommenderar att se anti-virus program är up-to-date med den skadliga signatur för skadlig kod är bästa sättet att skydda sig mot att falla offer för denna attack.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Fjärde generationens Android-spionage kampanj mål MellanösternKina-baserade spionage kampanj mål satellit -, försvars-företag (CNET)att Hacka drift använder skadliga Word-dokument för att rikta stöd organisationerHackare mål Japansk akademiker med phishing kampanj för att stjäla forskningsresultat (TechRepublic)It-säkerhet: Nation-state it-attacker hotar alla, varnar ex-boss GCHQ
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0