Nul
Forskere tracking Fancy Bære trussel gruppe har afsløret, er den vedholdende forfølgelse af NATO-allieret nation-stater, ved hjælp af en ny kampagne.
Ifølge forskere fra Palo Alto Networks, den seneste bølge af angreb, der er mærket “Kære Joohn” bevægelse, er også på vej mod det tidligere SOVJETUNIONEN nationalstater.
I et blog-indlæg i denne uge, holdet sagde, at Bære Fancy-også kendt som Sofacy, APT28, STRONTIUM, Bonde Storm, og Sednit — er slående grupper med politiske forbindelser, såvel som private organisationer.
APT har været aktiv fra mindst 2014 og har været knyttet til cyberangreb mod den AMERIKANSKE Demokratiske Nationale Komité (DNC), World Anti-Doping Agency (WADA), den ukrainske militær, og mange andre. Det er generelt mente, at den trussel aktører, der er sponsoreret af den russiske regering.
Fancy Bjørn har også for nylig blevet forbundet til Bomuldsugle, separat russiske hacking gruppen, på grund af den potentielle udveksling af værktøjer og infrastruktur.
Kampagnen har fået en frisk kant for sent med den øgede udbredelse af weaponized dokumenter under navnet “Joohn”, som udføre de Zebrocy og Kanon værktøj.
I løbet af oktober og November dette år, mål placeret på tværs af fire kontinenter, er blevet modtagere af Joohn dokumenter.
Ni prøver, der blev indsamlet af Palo Alto ville-være offer organisationer, herunder udenlandske anliggender kontorer og offentlige enheder. I hvert tilfælde den indledende angreb var spear phishing, med fil-navne, der er udformet til at henvise til aktuelle politiske spørgsmål såsom Brexit, Lion Air crash, og raketangreb i Israel.
Modtagere af disse meddelelser, der sendes fra e-mail-adresser, som så ligner legitime regering enheder, ville blive bedt om at downloade ondsindet Microsoft Word-filer.
Disse dokumenter vil så hente en skadelig makro, og anmode om tilladelse fra brugeren om at aktivere makroer for at inficere offerets system.
“De fleste af levering af dokumenter, der indeholder en generisk lokke billede anmoder om offeret makroer med ingen ekstra indhold, modstanderne tilsyneladende bygger udelukkende på at lokke filnavne for at lokke ofrene til at iværksætte den skadelige dokument,” siger forskerne.
Nogle af disse lokke billeder, omfatter NATO ‘ s EOD sæler. Et eksempel er fremstillet af firmaet, der er indeholdt anvisninger på russisk, hvilket holdet, siger “kan angive, den tilsigtede mål var en russisk talende nation-stat.”
Se også: Tidligere Mt. Gox administrerende DIREKTØR kunne tage 10 år bag tremmer i tilfælde af underslæb
Hvis Fancy Bear ‘ s kommando-og-kontrol (C2) – servere er aktiv, når det dokument, der udfører makroen, er indlæst via en remote template. Men hvis inaktiv, makroer prompt vises aldrig.
Den Joohn forfatterens navn blev brugt i de fleste af de dokumenter, der er opnået, samt fjernbetjening skabeloner. Det fremgår også, at IP-baseret C2s, der anvendes i Kære Joohn kampagne, der er adskilt fra andre kriminelle ordning infrastruktur, der anvendes af Fancy Bære.
Når henrettet, de dokumenter, der levere Kanon og Zebrocy Trojanske heste. En række af Zebrocy varianter er brugt af hackere og er skrevet i et sprog, herunder Delphi, C#, og VB.NET.
TechRepublic: 15 færdigheder, du har brug for at være en whitehat hacker og gøre op til $145K per år
Forskere havde tidligere kun kendt om Delphi variant.
Den Trojan er i stand til at indsamle data og sende dette til C2-server via HTTP POST-anmodninger, modtagelse og udførelse gengæld nyttelast som open-source-penetration test kit Koadic.
Den første kendte prøve af Kanonen blev indsamlet i April dette år. C# – værktøj, der menes at komme i mindst syv forskellige smagsvarianter, og fungerer som en downloadet, ved at sende e-mails til C2-server for at få yderligere nyttelast.
Men Kanon er også udstyret med midler til at indsamle oplysninger om systemet, tage skrivebordsbilleder, og opretholde vedholdenhed gennem en række mekanismer.
“Vi mener, vi har også fundet en Kanon variant skrevet i Delphi,” Palo Alto siger. “Vi har set Sofacy ved hjælp af flere sprog for at skabe varianter af Zebrocy Trojan, så det synes passende, at den gruppe, der vil oprette flere varianter af Kanon i flere programmeringssprog samt.”
CNET: Iran-forbundet hackere efter sigende målrettet aktivister og AMERIKANSKE embedsmænd,
“Den gruppe, der tydeligt viser en præference for at anvende en simpel downloader som Zebrocy som første fase af nyttelast i disse angreb,” forskerne tilføjet. “Gruppen fortsætter med at udvikle nye varianter af Zebrocy ved at tilføje en VB.NET og C# version, og det ser ud til, at de også har brugt forskellige varianter af Kanon værktøj i tidligere angreb kampagner.”
Tilbage i September, ESET forskere afslørede en separat Fancy Bære kampagne, som udnytter LoJack i, hvad der kan have været den første dokumenterede tilfælde af en UEFI rod i naturen.
Holdet sagde rootkit blev fundet sammen med den legitim LoJack system opsving værktøj, som er i stand til at lappe en offerets system for at installere malware på firmware niveau.
Tidligere og relaterede dækning
Kina skylden for Marriott bruddet Mange af 2018 mest farlige Android-og iOS-sikkerhed mangler, der stadig truer din mobil sikkerhed Android-malware, der stjæler penge fra PayPal-konti, mens brugere, se hjælpeløs
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0