Zero
Un cyber-spionaggio di gruppo è la distribuzione di un nuovo tipo di malware trojan contro telecomunicazioni, information technology, e organizzazioni governative.
Soprannominato Seedworm, il gruppo è operativo, almeno dal 2017, e anche se è prevalentemente cerca di infiltrarsi organizzazioni in Medio Oriente, le organizzazioni di base in Europa e Nord America sono stati anche gli obiettivi.
L’operazione di hacking, noto anche come MuddyWater-è stata molto attiva negli ultimi mesi e i ricercatori di Symantec dire che la campagna di spionaggio ha rubato informazioni da più di 130 le vittime in 30 organizzazioni dal settembre di quest’anno. Gli attacchi sembrano essere focalizzata su di rubare le password, in particolare per account web, nonché di comunicazione interna, dati e altre informazioni.
Seedworm dell’ultima campagna è stata scoperta dopo che i ricercatori hanno scoperto prove di attività su un computer all’interno del Brasile a base di ambasciata di ciò che Symantec si riferisce a come “produttori di petrolio della nazione”.
L’ambasciata computer era stato compromesso da un gruppo di hacker russi APT28 — aka FancyBear-ma non c’è prova per suggerire che la pirateria gruppi erano a conoscenza della vicenda.
Tuttavia, a causa di quello che i ricercatori descrivono come “una preferenza per la velocità e l’agilità oltre operativo di sicurezza”, è stato possibile rintracciare Seedworm attività, rivelando ciò che gli aggressori hanno preso, una volta ottenuto nella rete e come hanno fatto.
Dal momento che il gruppo ha iniziato operativo, Seedworm ha impiegato una custom backdoor chiamata Powermud, che è stato continuamente aggiornato, nel tentativo di evitare il rilevamento.
Spear-phishing è la chiave per fornire il malware, che una volta installato sul sistema di destinazione prima esecuzione di strumenti progettati per rubare le password salvate nel web dell’utente browser ed e-mail. Seedworm quindi utilizza gli strumenti open source come LaZagne e Crackmapexec ottenere Windows credenziali di autorizzazione e di muoversi attraverso la rete.
VEDERE: che Cosa è il malware? Tutto quello che devi sapere su virus, trojan e malware
Ma grazie a dei poveri operativo di sicurezza, da parte degli aggressori, i ricercatori hanno scoperto una nuova variante del Powermud backdoor — Powemuddy — che permette ulteriori attività e ha aiutato Seedworm riesca a compromettere 30 organizzazioni nello spazio di pochi mesi.
In totale 131 individui sono stati trovati per essere infettati con Seedworm malware, con la più alta concentrazione in Medio Oriente — tuttavia organizzazioni multinazionali con interessi nella zona, ma che operano in Europa e Nord America sono stati compromessi. È altamente probabile che gli aggressori previsto per compromettere gli obiettivi specifici.
“Le organizzazioni con più di tre o quattro vittime, quasi certamente, sono state prese di mira dai Seedworm attori in particolare e non erano accidentali compromessi. Le organizzazioni con più vittime probabilmente ha avuto più dipendenti inviati spear phishing”, Jonathan Wrolstad, minaccia ricercatore presso Symantec detto a ZDNet.
Tuttavia, al fine di velocizzare la campagna, Seedworm preso per memorizzare gli script in un repository GitHub. Mentre questo ha permesso al gruppo di accelerare il loro operazioni, è venuto a costo di sicurezza operativa, ha permesso ai ricercatori di scoprire l’attività.
“Pensiamo che il Seedworm attori usare GitHub come un blocco note per memorizzare i loro script per un facile accesso. Questo mostra come il valore di agilità e velocità per la sicurezza delle loro operazioni. Non c’è nulla negli script di auto-mostra chiaramente che gli script vengono utilizzati per le attività dannose. Gli script sono simili a quelli che un team rosso può anche usare”, ha detto Wrolstad.
Tuttavia, pur lasciando una scia di attività, Seedworm deve ancora essere classificato come un esperto di cyber spionaggio gruppo si è focalizzato su obiettivi di alto valore.
Symantec ha notificato le organizzazioni di circa Seedworm ultima obiettivi e tecniche e ha fornito un elenco di Indicatori di Compromesso.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Questi hacker utilizzano Android sorveglianza malware target oppositori del governo Sirianocon sede in Cina la campagna di spionaggio obiettivi satellitare, imprese di difesa CNETNuovo stato-backed campagna di spionaggio obiettivi militari e di governo si utilizza liberamente disponibili strumenti di hackingCyberweapons sono ora in gioco: Da NOI il sabotaggio di un Nord coreano test missilistico a hacked sirene di emergenza in Dallas TechRepublicGratuito, facile da usare, e a disposizione di chiunque: Il potente malware nascosti in bella vista sul web aperto
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0