Nul
ESET forskere sporing af en berygtet bagdør og cyberespionage kampagne har advaret om, at den liste af regeringen ofre er langt længere end tidligere antaget — og mindst to nye Europæiske kontorer har bukket under.
Bagdør er udført af en advanced persistent threat (APT) gruppe, kendt som Turla. Turla har tidligere været knyttet til hen imod gezer malware familie, som har været anvendt mod forskellige regerings-og diplomatiske organer i Europa før.
Hen imod gezer var forbundet til watering hole-angreb, og spyd-phishing-kampagner rettet mod offentlige enheder og diplomater til formål at cyberespionage.
I 2017, Turla var også forbundet til en bagdør implanteret i Tyskland, udenrigsministeriet, hvor det blev brugt til at sifon fortrolig information fra det offentlige over størstedelen af året.
Turla menes at stamme fra Rusland og har været aktiv i hvert fald siden 2008. Nu ser det ud til APT er ramping sin indsats, og har udnyttet den samme bagdør mod de udenlandske kontorer i to andre Europæiske lande.
Hertil kommer, at en unavngiven større forsvarsentreprenør er også blevet et offer for den trussel aktører.
Den bagdør, der anvendes i disse kampagner blev oprettet i 2009, og siden da har gennemgået en række radikale forandringer. Snigende, i stand til at undgå at blive opdaget for lang tid, og har for nylig opgraderet til at udføre ondsindede PowerShell scripts direkte i computerens hukommelse, den malware har nu oparbejdet en “sjælden grad af stealth og modstandskraft,” i henhold til ESET.
Turla er malware, der er en Dynamic Link Library (DLL) modul, fastholder vedholdenhed ved manipulation med Windows-registreringsdatabasen. I en teknik, der er kendt som “COM-objekt kapring,” bagdør vil automatisk respawn, når Microsoft Outlook åbnes.
Den malware har senest målrettet brugere af Microsoft Outlook. Men den software, der i sig selv ikke bruges som et angreb, men snarere, at den malware forsøg på at undergrave Microsoft Outlook legitime Messaging Application Programming Interface (MAPI) at infiltrere offer indbakker.
Se også: Guns er allerede på BRITISKE gader. 3D print kan gøre tingene meget værre.
Et interessant element i denne bagdør er, hvordan Turla vælger at styre det. Størstedelen af malware gør brug af kommando-og-kontrol (C&C) centre for at udstede kommandoer, men i dette tilfælde lavet .PDF-filer, der er sendt til kompromitterede e-mail-indbakker sende de operative kommandoer.
Når et offer modtager en e-mail, malware genererer en log, der indeholder oplysninger om den meddelelse, herunder afsender, modtager, emne, og vedhæftede navne. Disse data er derefter regelmæssigt samlet op og sendt til Turla APT via en .PDF-dokument.
Men truslen gruppe er omhyggelig med kun at sende disse e-mails under standard arbejdstiden for at undgå at vække mistanke. Alle e-mail-meddelelser er også blokeret for visning.
TechRepublic: Top 5: Risici for kryptering bagdøre
“Den kompromitterede maskine kan blive bedt om at udføre en række kommandoer,” ESET siger forskerne. “Vigtigst af alt, disse omfatter data exfiltration, samt download af flere filer og udførelse af yderligere programmer og kommandoer. Data exfiltration i sig selv også finder sted via .PDF-filer.”
Bagdøren er, hvad forskerne kalder “operatør-agnostiker”, hvilket betyder, at den ondsindede kode vil acceptere kommandoer fra nogen i stand til at kode dem ind i en fabrikeret .PDF.
Dette kan være en teknik, der anvendes til at forhindre et sammenbrud af malware operationer i tilfælde, hvor skadelig C&C-centre er beslaglagt af cybersecurity hold eller lov håndhævelse.
CNET: Kongressen introducerer bill til at blokere regering kryptering bagdøre
Turla er den eneste gruppe, der er kendt for at de forskere, der bruger e-mail-baserede command-systemer, og sagen viser bare, hvordan innovative APT grupper kan være, når værdifulde politiske oplysninger er up-for-grabs.
ZDNet har nået ud til ESET med yderligere forespørgsler og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Mexicanerne serveres med Mørk Tequila i spyware amok Hacker har data på 20.000 Superdrug kunder som gidsler Adobe frigiver ud af tidsplan fjernkørsel af programkode fix
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0