Nul
Forskere har afdækket Blæksprutte Trojansk hest i en bølge af cyberangreb at blive lanceret mod diplomatiske enheder i hele centralasien.
Ifølge cybersecurity-firma Kaspersky Lab, målrettet kampagne har brugt de seneste forbud mod Telegram messenger i hele Rusland og rapporterede forsøg på at forbyde service på tværs af nogle af de tidligere Sovjetiske områder, såsom Kasakhstan for at narre ofre til at tro, de henter en tilgængelig, legitim version af den sande kommunikationstjeneste.
Den ondsindet payload ligner legitime Telegram messenger app, men i stedet giver en remote access kanal for fjernangribere at kapre offer-Pc ‘ er.
CNET: Kinesisk trojan påvist spredning gennem falske base stationer
Kaspersky Lab mener, at den nye kampagne kan have links til de russisk-talende trussel gruppe DustSquad, som har været aktiv i hele centralasien, da 2014.
DustSquad er blevet sporet i angreb mod private brugere og diplomatiske organisationer og har udviklet Android og Windows malware til disse overgreb i fortiden.
“Vi har set en masse trussel rettet mod aktører diplomatiske enheder i det centrale Asien i 2018,” siger Denis Legezo, sikkerhedsekspert hos Kaspersky Lab. “DustSquad har arbejdet i regionen i flere år, og det kunne være gruppen bag denne nye trussel. Tilsyneladende interesse i denne regioner ” cyber anliggender er støt stigende.”
DustSquad er usædvanlig i sin programmering valg for Blæksprutte Trojan, der gør brug af Delphi og tredje-parts biblioteker som Indy Projekt for JSON-baserede command-and-control (C2) server kommunikation og TurboPower Abbrevia for komprimering kapaciteter.
Blæksprutten Trojan er pakket i et arkiv, døbt DVK — “Demokratiske Valg i Kasakhstan” — og er forklædt som en variant af Telegram messenger bygget til kasakhiske oppositionspartier i Kasakhstan. Ikke sådan software, der faktisk eksisterer.
Landet har truet med at forbyde Telegram i April, medmindre selskabet har indvilliget i at slette alt indhold, der produceres på tværs af platform ved DVK.
Truslen aktører bag ondsindet program tilsløre den Trojanske launcher med et anerkendt symbol fra det politiske parti. Når den er aktiveret, Blæksprutter er i stand til at udføre opgaver, herunder tyveri af data og sletning, skal du aktivere bagdør adgang, og foretage overvågning.
Men, der synes at have været en lille indsats, der anvendes til at forhindre, at mistanken er vakt gennem ondsindet software, som udviklerne har ikke inkluderet nogen virkelig mail eller kommunikation funktioner.
En sådan overvågning vil sandsynligvis rejse et rødt flag og alarm ofre, men Kaspersky mener, at denne mangel på finesse kan være på grund af den malware, der er udviklet “i en fart.”
TechRepublic: Evrial Trojan kan stjæle, hvad der er gemt på din Windows Udklipsholder, herunder Bitcoins
Vedholdenhed er opnået gennem systemet registreringsdatabasen på en enkel måde, og server-side til kommerciel hosting med .PHP scripts og hardcoded IP-adresser er brugt snarere end noget mere avanceret, såsom skudsikre hosting.
Forskerne er usikre på, hvordan denne malware spreder sig, men i betragtning af, at den skadelige software er målrettet mod særlige politiske og diplomatiske organisationer, er det sandsynligt, at social engineering spiller en stor del i operationen.
Se også: Adwind Trojan omgår antivirus-software til at inficere din PC
“Ud fra vores erfaringer, kan vi sige, at den interesse, som trussel aktører i denne region, der er høj, og den traditionelle ‘spillere’ har fået følgeskab af relative nytilkomne som DustSquad, der er dukket op lokalt,” Kaspersky Lab siger. “Det er interessant, vi har observeret nogle ofre, der er” fare magneter målrettet med dem alle.”
Tidligere og relaterede dækning
Panda Banker Trojan bliver en del af Emotet trussel distributionsplatform Bank-malware finder nyt liv spredning data-stjæle trojan, malware, Trojanske kampagne udvides med angreb mod nye banker
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0