Nul
En nyligt afsløret, og sandsynligvis state-backed hacking operation er at angribe regeringer og militære organisationer, ved hjælp af offentligt tilgængelige værktøjer til at udføre en målrettet it-spionage kampagne.
Døbt Gallmaker har gruppen været aktiv i hvert fald siden December 2017 og ikke bruger malware at få adgang til og kontrol Windows-systemer; i stedet for at bruge værktøjer som Metasploit og PowerShell til at få adgang til oplysningerne i målrettede angreb.
Opdaget af forskere ved Symantec, hacking kampagne siges at være rettet mod flere oversøiske ambassader af en uspecificeret Østeuropæiske lande i de forskellige regioner rundt om i verden, samt en række militære og forsvars-mål i Mellemøsten, der ikke synes at bære nogen specifikke links til regeringens mål.
Men forskerne er overbeviste om, at målene er specielt udvalgt af dem, der står bag kampagnen, som bærer præg af at være begået af en state-backed-gruppen-men Symantec ville ikke være trukket om præcis, hvem der kunne stå bag kampagne, eller den nøjagtige mål for de angreb, der kun angiver, at kampagnen er af en meget vidende organisation.
Angreb begynde med spyd-phishing-e-mails, der anvendes til at levere dokumenter med navne, der er relateret til det offentlige, militære eller diplomatiske temaer. De dokumenter, der er beskrevet som “ikke meget sofistikeret” og er designet til at være af interesse for mål i Østeuropa, og er tilsyneladende arbejder.
Disse ondsindede lokker ikke indeholder malware, men i stedet se at drage fordel af en exploit i Microsoft Office DDE (Dynamic Data Exchange) – protokollen, for at få adgang til maskiner. DDE er der til at dele data mellem Office-programmer, men forskerne afdækket en sårbarhed i ordningen sidste år.
Microsoft i første omgang påpegede, at den kapacitet, som en funktion, ikke en sårbarhed, før den senere frigive en opdatering for at sikre, at DDE er deaktiveret som standard i Word og Excel.
Efter en lokke-dokument åbnes, brugeren opfordres til at aktivere ‘beskyttet’ indhold – en handling, som gør det muligt for DDE-protokollen og giver angribere mulighed for at fjernstyre udføre kommandoer på systemet.
Se også: Hvad er phishing? Alt hvad du behøver at vide for at beskytte dig selv fra fidus e-mails og meget mere
Gallmaker er i stand til at udføre spionage-kampagner uden malware ved hjælp af en række værktøjer og opgaver, der er lovligt tilgængelige på nettet, eller indlejret i systemet processer Windows-maskiner.
For eksempel, “WindowsRoamingToolsTask’ er, der anvendes til at planlægge PowerShell scripts og opgaver, mens angriberne bruge funktioner af Metasploit anal software toolkit til at sløre shellcode, der er udført ved hjælp af PowerShell.
Angriberne bruge en legitim version af WinZip til at udføre kommandoer og kommunikere med deres kommando og kontrol-server – det er sandsynligt, at dette også bruges til at arkivere data med henblik på at stjæle filer og andre data.
Den Gallmaker gruppen er også blevet observeret ved hjælp af den offentligt tilgængelige Rex PowerShell-bibliotek til at oprette og manipulere PowerShell scripts for hjælp med Metasploit udnytter.
Forskere bemærk, at når Gallmaker angreb har blevet observeret, at der er beviser for værktøjer til at blive slettet fra offer maskiner, når en kampagne er færdig, for at styrke den operationelle sikkerhed og skjule spor af aktivitet.
Se også: Gratis, let at bruge, og tilgængelige for alle: Det magtfulde malware gemmer sig i et almindeligt syn på det åbne web
Dette forsøg på at dække deres spor, og den måde, som angriberne at “leve af landet” angiver, at Gallmaker er meget omhyggelige med ikke at blive opdaget – og sandsynligvis lavet af en kyndig gruppe med erfaring i spionage.
“De værktøjer, der anvendes af Gallmaker er offentligt tilgængelige og kan bruges til lovlige formål. Det faktum, at de kan have legitime grunde til at være på en enhed, der betyder, at deres tilstedeværelse ikke nødvendigvis vække mistanke, derfor er deres appel til angriberne,” Dick O ‘ Brien, trussel forsker ved Symantec fortalte ZDNet.
“Gruppen er disciplineret og forsøger at opretholde en god driftssikkerhed. Fordi de kan montere alle faser af et angreb uden at ty til malware, dette tyder på, at en gruppe, der er mere vidende og dygtige end de fleste spionagegrupper,” tilføjede han.
Forskerne er ikke i stand til at afgøre, om kampagner ved Gallmaker har været succesfulde i at stjæle data fra mål, men har identificeret 20 separate angreb, der fandt sted mellem December og juni – næsten halvdelen af disse fandt sted i April.
Et element, der forbinder alle de mål for kampagnen er, at de ikke har installeret programrettelsen, som deaktiverer DDE som standard – det er sandsynligt, at dem, der står bag Gallmaker er at være opportunistisk og håber på, at patch ikke er blevet indsat, snarere end eksplicit at vide, at det er tilfældet.
Den seneste aktivitet, som gruppen var i juni, men det betyder ikke nødvendigvis, at Gallmaker har indstillet driften, som andre kampagner har vist sig, at angriberne kan forblive i dvale i måneder, endda år ad gangen, før du genoptager aktivitet.
Det kan være svært for organisationer at beskytte sig selv fra at leve af det land, taktik – den måde, at de værktøjer, der kan skjule sig i et almindeligt syn er, hvad der gør dem populære for cyber kriminelle aktiviteter – men der er en række ting, der kan gøres for at minimere risikoen.
Dette omfatter anvendelse af sikkerhedsopdateringer og fejlrettelser, som nye sårbarheder, kommer til lyset, for at sikre, at følsomme data er krypteret med henblik på at reducere konsekvenserne af data lækager, og uddanne medarbejdere om risici ved åbning af e-mails og dokumenter fra ukendte kilder, hvor det er muligt.
LÆS MERE OM IT-KRIMINALITET
OS afgifter russiske officerer, over internationale hacking og misinformationskampagnerKina-baseret spionage kampagne mål satellit, forsvar virksomheder [CNET]Phishing-advarsel: En ud af hver hundrede e-mails er nu hacking forsøg påPhishing-angreb rammer for finansielle tjenesteydelser, tech virksomheder hårdest: Hvordan at bo sikkert [TechRepublic]Spionage malware snoops for adgangskoder, bitcoin miner på siden
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0