Noll
Forskare spåra Fancy Bära hot grupp har visat ihållande inriktning av NATO-allierade nationalstater genom en ny kampanj.
Enligt forskare från Palo Alto Networks, den senaste vågen av attacker, märkt “Kära Joohn” – rörelsen, är också på väg mot före detta sovjetiska stater.
I ett blogginlägg den här veckan, laget sa att Snygga att Bära-även känd som Sofacy, APT28, STRONTIUM, Bonde Storm, och Sednit — är slående grupper med politiska kopplingar, samt privata organisationer.
APT har varit aktiv från minst 2014 och har varit kopplade till it-angrepp mot USA: s Demokratiska Nationella Kommittén (DNC), World Anti-Doping Agency (WADA), den ukrainska militära, och många andra. Det är allmänt trott hotet aktörer är sponsrade av den ryska regeringen.
Fancy Björn har också nyligen varit ansluten till Earworm, en separat ryska hacka gruppen, på grund av den potentiella delning av verktyg och infrastruktur.
Kampanjen har gett en ny kant för sent med den ökade användningen av weaponized dokument under namnet “Joohn” som kör Zebrocy och Kanon verktyg.
Under oktober och November i år, mål som ligger över fyra kontinenter har blivit mottagare av Joohn dokument.
Nio prover samlades in genom Palo Alto från blivande offer organisationer, inklusive utrikes frågor kontor och offentliga enheter. I varje fall den första angreppspunkten var spear phishing, med filnamn utformad för att referera till aktuella politiska frågor som Brexit, Lion Air crash, och raketattacker i Israel.
Mottagare av dessa meddelanden, som skickas från e-postadresser som såg liknande legitima statliga enheter, skulle bli ombedd att ladda ned skadliga Microsoft Word-filer.
Dessa handlingar skulle då hämta ett skadligt makro och begära tillstånd från användaren att aktivera makron för att infektera offrets system.
“Majoriteten av leverans dokument som innehåller en generisk lura bild som begär offer aktivera makron utan extra innehåll, motståndare till synes enbart förlita sig på att lura filnamn för att locka offer för att starta skadliga dokument,” forskarna säger.
Några av dessa drag bilder skulle omfatta NATO EOD sälar. Ett exempel som erhållits av företag som finns instruktioner på ryska, som forskarna säger “kan tyda på att det avsedda målet var ett rysktalande land.”
Se också: Tidigare Mt. Gox VD kan utsättas för 10 år bakom galler i förskingring fall
Om Fancy Bear ‘ s kommando-och-kontroll (C2) – servrar som är aktiva när dokumentet körs makrot laddas via en fjärrkontroll mall. Men om inaktiv aktivera makron-prompten visas aldrig.
Den Joohn författarens namn användes i de flesta av de handlingar som erhållits, samt fjärr-mallar. Det verkar också som om den IP-baserade C2s används i Kära Joohn kampanj är separat från andra straffrättsliga systemet infrastruktur som används av Tjusiga att Bära.
En gång utföras, de handlingar som levererar Kanon och Zebrocy Trojaner. Ett antal Zebrocy varianter används av angripare och är skrivna i olika språk, inklusive Delphi, C#, och VB.NET.
TechRepublic: 15 färdigheter du behöver för att vara en whitehat hacker och tjäna upp till $145K per år
Forskare hade tidigare endast känt om Delphi variant.
Den Trojanska är kunna samla in data system och skicka detta till C2 server via HTTP POST-begäran, ta emot och verkställande tillbaka nyttolaster som open-source penetration test kit Koadic.
Den första kända urval av Kanon samlades i April i år. C# verktyg tros komma från minst sju olika smaker och funktioner som en dataöverföring genom att skicka e-post till C2-server för att få ytterligare nyttolast.
Dock Kanon är också utrustade med det sätt att samla in information om systemet, ta skrivbordet skärmdumpar och upprätthålla uthållighet genom olika mekanismer.
“Vi tror att vi har också hittat en Kanon variant skriven i Delphi,” Palo Alto säger. “Vi har sett Sofacy att använda flera språk för att skapa varianter av Zebrocy Trojan, så det verkar passande att gruppen skulle skapa ytterligare varianter av Kanonen i flera programmeringsspråk.”
CNET: Iran-kopplade hackare uppges ha riktat aktivister och tjänstemän OSS
“Den grupp som tydligt visar en preferens för att använda en enkel dataöverföring som Zebrocy som det första stadiet av nyttolaster i dessa attacker,” forskarna lade till. “Koncernen fortsätter att utveckla nya varianter av Zebrocy genom att lägga till en VB.NET och C# version, och det verkar som om de också har använt olika varianter av Kanon verktyg i tidigare attack kampanjer.”
Tillbaka i September, ESET forskare visat en separat Fancy Bära kampanj som använder LoJack i vad som kan ha varit den första dokumenterade fallet av en UEFI rootkit i det vilda.
Laget sa rootkit hittades levereras med legitima LoJack system recovery verktyg, som kan patch offrets system för att installera skadlig kod på firmware-nivå.
Tidigare och relaterade täckning
Kina skulden för Marriott dataintrång Många av 2018 mest farliga Android-och iOS-säkerheten brister fortfarande hota din mobil säkerhet Android-malware stjäl pengar från PayPal-konton och användare titta på hjälplösa
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0