Noll
En it-spionage-gruppen lanserar en ny typ av trojan malware mot telekommunikation, informationsteknik och offentliga organisationer.
Dubbade Seedworm, gruppen har funnits sedan åtminstone 2017, och även om det främst ser ut att infiltrera organisationer i Mellanöstern, organisationer baserade i Europa och Nordamerika har också varit mål.
Hacka drift-även känd som MuddyWater — har varit mycket aktiv de senaste månaderna och forskare på Symantec säga spionage kampanj har stulit information från mer än 130 offer över 30 organisationer sedan September i år. Attackerna verkar vara fokuserade på att stjäla lösenord, särskilt för webben redovisning samt intern kommunikation data och annan information.
Seedworm s senaste kampanj upptäcktes när forskare upptäckte bevis på aktivitet på en dator i Brasilien-baserade ambassad vad Symantec refererar till som “en oljeproducerande nation”.
Ambassaden datorn hade också drabbats av ryska hacka gruppen APT28 — aka FancyBear-men det finns inga bevis som tyder på att hacka grupper var medvetna om varandra.
Dock, på grund av vad forskare beskriver som “en preferens för snabbhet och smidighet över det operativa säkerhet”, var det möjligt att spåra Seedworm verksamhet, som avslöjar vad som angriparna tog när de kommit in i nätverket och hur de gjorde det.
Sedan började koncernen rörelseresultat, Seedworm har anställt en egen bakdörr som kallas Powermud, som har varit kontinuerligt uppdateras i ett försök att undvika upptäckt.
Spear-phishing är de viktigaste medel för att leverera skadlig kod, som när den är installerad på en target-systemet körs verktyg som har utformats för att stjäla lösenord sparas i användarens webbläsare och e-post. Seedworm använder sig av open-source verktyg som LaZagne och Crackmapexec att få Windows tillstånd referenser och att flytta över nätverket.
SE: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Men tack vare dålig driftsäkerhet av angriparna, forskare har upptäckt en ny variant av Powermud bakdörr — Powemuddy — som gör det möjligt för ytterligare aktivitet och har hjälpt Seedworm att framgångsrikt kompromiss 30 organisationer inom loppet av ett par månader.
Totalt 131 personer smittats med Seedworm malware med den högsta koncentrationen i Mellanöstern — dock multinationella organisationer med intressen i området, men som bedriver verksamhet i Europa och Nordamerika var också funnit att ha äventyrats. Det är mycket troligt angriparna planerade att angripa specifika mål.
“Organisationer med mer än tre eller fyra offer nästan säkert var riktade Seedworm aktörer specifikt och var inte en tillfällighet kompromisser. De organisationer med flera offer sannolikt hade flera anställda skickade spear phishing e-post,” Jonathan Wrolstad, hot forskare på Symantec berättade ZDNet.
Men, för att hjälpa till att snabba upp kampanjen, Seedworm tog att lagra skript i ett GitHub repository. Samtidigt som detta gjorde det möjligt för koncernen att snabba upp sin verksamhet, det kom inte på bekostnad av driftsäkerhet och gjort det möjligt för forskare att avslöja aktivitet.
“Vi tror att den Seedworm aktörer använda GitHub som ett anteckningsblock för att lagra sina manus för enkel åtkomst. Detta visar hur de värderar snabbhet och smidighet över säkerheten i sin verksamhet. Det finns ingenting i de skript som uppenbart visar att de skript som används för skadlig aktivitet. De skript som liknar dem som en röd team kan också använda”, sa Wrolstad.
Ändå, trots lämnar ett spår av aktivitet, Seedworm bör fortfarande betraktas som en skicklig it-spionage-gruppen med fokus på hög-värde mål.
Symantec har anmält organisationer om Seedworm: s senaste mål och tekniker och har en lista över Indikatorer som en Kompromiss.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Dessa hackare använder Android övervakning skadlig kod till mål motståndare till den Syriska regeringenKina-baserade spionage kampanj mål satellit, försvar företag CNETNytt statligt stöd för spionage kampanj är inriktad på militära och regeringen med hjälp av fritt tillgängliga hackerverktygCyberweapons är nu i spel: Från OSS sabotage av en nordkoreansk missil testa att hacka akut sirener i Dallas TechRepublicGratis, lätt att använda och tillgänglig för alla: Den kraftfulla skadlig kod gömd i vanlig syn på den öppna webben
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0