Noll
ESET forskare spåra en ökänd bakdörr och cyberespionage kampanj har varnat för att den lista av regeringen offren är betydligt längre än man tidigare trott — och minst två nya Eu-kontor har dukat under.
Bakdörren är ett verk av en advanced persistent threat (APT) grupp känd som Turla. Turla har tidigare varit kopplade till gat-rimmon familj av skadlig kod som har använts mot olika statliga och diplomatiska organ i Europa innan.
Gazer var ansluten till vattenhål attacker och spear-phishing-kampanjer riktade statliga enheter och diplomater för att cyberespionage.
I 2017, Turla var också kopplad till en bakdörr som implanteras i Tysklands Federala Utländska Kontor, där det användes för att suga konfidentiell regeringen information under större delen av året.
Turla tros härstamma från Ryssland och har varit aktiv sedan åtminstone 2008. Nu verkar det APT är trappar upp sina ansträngningar och har utnyttjat samma bakdörr mot utländska kontor med två andra Europeiska länder.
Dessutom, en namnlös större försvar entreprenör har också blivit utsatt för hot aktörer.
Den bakdörr som används i dessa kampanjer skapades 2009 och har sedan dess genomgått en rad genomgripande förändringar. Smygande, kunna undvika upptäckt för långa perioder av tid, och nyligen uppgraderats för att köra skadlig PowerShell-skript direkt i datorns minne, malware har nu fått ett “sällsynt grad av stealth och motståndskraft”, enligt ESET.
Turla är skadlig programvara, vilket är en Dynamisk Länk Bibliotek (DLL) modul, upprätthåller uthållighet genom manipulering med Windows-registret. I en teknik som kallas “COM-objekt kapning,” bakdörr kommer automatiskt att återuppstå när Microsoft Outlook öppnas.
Malware har nyligen riktade användare av Microsoft Outlook. Men, själva programvaran inte används som ett angrepp, utan den skadliga försök att undergräva Microsoft Outlook legitima Messaging Application Programming Interface (MAPI) för att infiltrera offer inkorgar.
Se även: Vapen är redan på BRITTISKA gator. 3D-utskrifter kan göra saker och ting mycket värre.
En intressant del av denna bakdörr är hur Turla väljer att styra det. Majoriteten av skadlig kod som använder sig av command-and-control (C&C) centers för att ge kommandon, men i detta fall utformad .PDF-filer som skickas till äventyras e-post inkorgar skicka den operativa kommandon.
När ett offer får ett e-postmeddelande, malware skapar en logg som innehåller information om meddelandet, inklusive avsändare, mottagare, ämne och namn fastsättning. Dessa uppgifter är sedan regelbundet paketerade och skickade till Turla APT via en .PDF-dokument.
Men hotet grupp är noga med att endast skicka dessa e-postmeddelanden under normal arbetstid för att förhindra att väcka misstankar. Alla e-post meddelanden är också blockerat från att visa.
TechRepublic: Topp 5: Risker för kryptering bakdörrar
“Den infekterade maskinen kan vara i uppdrag att utföra en rad kommandon,” ESET forskarna säger. “Viktigast av allt, dessa inkluderar data exfiltration, samt ladda ner ytterligare filer och genomförande av ytterligare program och kommandon. Data exfiltration sig sker också via .PDF-filer.”
Bakdörren är vad forskare kallar “operator-agnostiker”, vilket innebär att den skadliga koden kommer att ta emot kommandon från någon möjlighet att koda dem i ett specialskrivet .PDF-filen.
Detta kan vara en teknik som används för att förhindra en kollaps av skadlig kod verksamhet i de fall där skadlig C&C centra är beslagtagna av cybersäkerhet lag eller lag verkställighet.
CNET: s Kongress lanserar faktura för att blockera regeringen kryptering bakdörrar
Turla är den enda grupp som är känd för att den forskare som använder e-post-baserade ledningssystem och fall visar bara hur innovativa APT-grupper kan vara när värdefull politisk information är tillgängliga för spel.
ZDNet har nått ut till ESET med ytterligare frågor och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
Mexikaner serveras med Mörka Tequila spyware spree Hacker innehar data 20.000 Superdrug kunder till lösen Adobe släpper ut schemat fjärrkörning av kod fixa
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0