Noll
Forskare har upptäckt Bläckfisk Trojan i en våg av it-angrepp lanseras mot diplomatiska personer i hela centralasien.
Enligt it-företaget Kaspersky Lab, riktad kampanj har använt den senaste förbud av Telegram budbärare över hela Ryssland och rapporterade försök att förbjuda den service över några tidigare Sovjetiska områden som Kazakstan för att lura offer till att tro att de laddar ner en tillgänglig, legitim version av den sanna kommunikationstjänst.
Den skadliga koden ser ut som den legitima Telegram messenger-app, men ger istället en remote access-kanal för angripare att kapa offer Datorer.
CNET: Kinesiska trojan har upptäckts som sprider sig genom falska basstationer
Kaspersky Lab tror att den nya kampanjen kan ha kopplingar till den ryska hotet grupp DustSquad, som har varit aktiv i hela centralasien sedan 2014.
DustSquad har spårats i-attacker mot privata användare och diplomatiska organisationer och har utvecklat en anpassad Android och Windows malware för dessa övergrepp i det förflutna.
“Vi har sett en hel del av hot från aktörer med inriktning diplomatiska enheter i centralasien 2018, säger Denis Legezo, säkerhetsforskare på Kaspersky Lab. “DustSquad har arbetat i området i flera år och kan vara den grupp som ligger bakom detta nya hot. Tydligen intresse i detta regionernas it-frågor ökar stadigt.”
DustSquad är ovanliga i sin planering val för Bläckfisk Trojan, att använda sig av Delphi och tredje part bibliotek som Indy Projekt för JSON-baserat kommando-och-kontroll (C2) server-kommunikation och TurboPower Abbrevia för komprimering förmåga.
Bläckfisk Trojan är förpackade i ett arkiv dubbade DVK — “Demokratiska Valet i Kazakstan” — och är förklädd som en variant av en Telegram budbärare byggd för kazakiska oppositionspartierna i Kazakstan. Någon sådan programvara som faktiskt finns.
Landet hotas att förbjuda Telegram i April om inte företaget gått med på att ta bort allt innehåll som produceras över plattformen genom att DVK.
Hotet aktörer bakom skadlig app dölja den Trojanska launcher med en erkänd symbol från politiskt parti. När det är aktiverat, Bläckfisk kan utföra uppgifter, inklusive stöld av data och tas bort, aktivera bakdörr tillgång, samt bedriva övervakning.
Men det verkar ha varit lite ansträngning tillämpas för att förhindra att misstankar väckts genom skadlig programvara eftersom utvecklare har inte inkluderat någon riktig post eller kommunikation funktioner.
En sådan tillsyn skulle sannolikt höja en röd flagga och alert offer, men Kaspersky anser att denna brist på finess kan bero på skadlig kod som utvecklats “i en hast.”
TechRepublic: Evrial Trojanen kan stjäla vad som är sparade på din Windows Urklipp, med Bitcoins
Uthållighet uppnås genom systemet registret på ett enkelt sätt, och server-side, kommersiell hosting med .PHP-skript och hårdkodad IP-adresser som används i stället för något mer avancerade, som bulletproof hosting.
Forskare är osäker på hur denna malware sprider sig, men med tanke på att skadliga program riktade mot specifika politiska och diplomatiska organisationer, är det troligt att social ingenjörskonst spelar en stor del i verksamheten.
Se även: Adwind Trojan kringgår antivirusprogram för att infektera din PC
“Från vår erfarenhet kan vi säga att intresset från hot aktörer i regionen är hög, och de traditionella aktörerna har fått sällskap av relativa nykomlingar som DustSquad som har vuxit upp lokalt,” Kaspersky Lab säger. “Intressant, vi observerade några offer som är “hot magneter” måltavla för dem alla.”
Tidigare och relaterade täckning
Panda banktrojan blir en del av Emotet hot plattformen för distribution Bank-malware finner nytt liv sprida uppgifter som stjäl trojan Trojan malware kampanj utökar med attacker mot nya banker
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0