Zero
I ricercatori di monitoraggio la Fantasia Orso minaccia gruppo hanno rivelato la persistente targeting della NATO allineato stati-nazione attraverso una nuova campagna.
Secondo i ricercatori di Palo Alto Networks, la recente ondata di attacchi, con l’etichetta “Cari Joohn” movimento, è anche in movimento contro l’ex URSS, gli stati-nazione.
In un post del blog di questa settimana, la squadra ha detto che la Fantasia Orso, noto anche come Sofacy, APT28, STRONZIO, Pedone Tempesta, e Sednit — colpisce gruppi con legami politici, nonché le organizzazioni private.
L’APT è stato attivo almeno dal 2014 ed è stato collegato ad attacchi contro gli stati UNITI Comitato Nazionale Democratico (DNC), la World Anti-Doping Agency (WADA), l’ucraino militari, e molti altri. Si ritiene in genere che la minaccia attori sono sponsorizzati dal governo russo.
Fantasia Orso ha anche recentemente collegato Earworm separata, un gruppo di hacker russi, a causa del potenziale di condivisione di strumenti e infrastrutture.
La campagna è stato dato un fresco bordo del ritardo con il maggiore utilizzo di un’arma di documenti sotto il nome di “Joohn” che eseguono le Zebrocy di Cannone e strumenti.
Oltre ottobre e novembre di quest’anno, bersagli situati in quattro continenti sono diventati i destinatari di Joohn documenti.
Nove campioni sono stati raccolti da Palo Alto, da chi potrebbe essere vittima di organizzazioni, tra cui affari esteri, gli uffici e gli enti di governo. In ogni caso, preliminare vettore di attacco è stato spear phishing, con i nomi di file predisposto per fare riferimento a questioni politiche attuali, come Brexit, la Lion Air crash, e il lancio di razzi in Israele.
I destinatari di questi messaggi, inviati da indirizzi e-mail che sembrava simile a un governo legittimo entità, verrà chiesto di scaricare dannosi i file di Microsoft Word.
Questi documenti dovrebbe quindi recuperare una macro dannoso e richiesta di autorizzazione da parte dell’utente di attivare le macro per infettare il sistema della vittima.
“La maggior parte dei documenti di consegna contiene un generico richiamo dell’immagine che richiede la vittima attivare le macro senza contenuti aggiuntivi, gli avversari apparentemente fare affidamento esclusivamente su di nomi di richiamo per attirare le vittime a lanciare il documento dannoso”, i ricercatori hanno detto.
Alcuni di questi esca immagini includono NATO EOD guarnizioni. Un esempio ottenuto dalla ditta istruzioni contenute in russo, con cui il team si dice “potrebbe indicare la destinazione era un russo che parla dello stato-nazione.”
Vedi anche: l’Ex Mt. Gox CEO potrebbe affrontare 10 anni dietro le sbarre in un caso di appropriazione indebita
Se la Fantasia dell’Orso di comando e controllo (C2) i server sono attivi quando il documento viene eseguita la macro viene caricato tramite un telecomando modello. Tuttavia, se inattiva, attiva macro comandi non appare mai.
Il Joohn il nome dell’autore è stato utilizzato nella maggior parte dei documenti raccolti, così come il telecomando modelli. Sembra inoltre che sia basata su IP C2s utilizzato nel Caro Joohn campagna è separato da altri reati schema di infrastruttura utilizzata da Fancy Orso.
Una volta eseguito, i documenti di consegnare il Cannone e Zebrocy Trojan. Un certo numero di Zebrocy varianti sono utilizzati dagli aggressori e sono scritti in lingue, tra cui Delphi, C#, e VB.NET.
TechRepublic: 15 competenze necessarie per essere un whitehat hacker e fare fino a $145K all’anno
I ricercatori avevano già conosciuto solo su Delphi variante.
Il Trojan è in grado di raccogliere i dati di sistema e di inviare il presente C2 server tramite richieste HTTP POST, la ricezione e l’esecuzione di tornare carichi utili come l’open-source test di penetrazione kit Koadic.
Il primo esemplare noto di Cannone è stato raccolto nel mese di aprile di quest’anno. Il C# strumento è creduto di venire in almeno sette diversi sapori e funzioni come un downloader inviando una mail a C2 server per ottenere ulteriori carichi.
Tuttavia, il Cannone è dotato di mezzi per raccogliere informazioni di sistema, prendere screenshot del desktop, e mantenere la persistenza attraverso una varietà di meccanismi.
“Crediamo di aver trovato anche un Cannone variante scritto in Delphi,” Palo Alto, dice. “Abbiamo visto Sofacy l’utilizzo di più linguaggi per creare varianti di Zebrocy Trojan, quindi, sembra opportuno che il gruppo dovrebbe creare altre varianti di Cannone in più linguaggi di programmazione.”
CNET: Iran-linked hacker riferito mirati attivisti e funzionari degli stati UNITI
“Il gruppo mostra chiaramente una preferenza per l’utilizzo di un semplice downloader come Zebrocy come primo stadio del payload in questi attacchi”, i ricercatori hanno aggiunto. “Il gruppo continua a sviluppare nuove varianti di Zebrocy con l’aggiunta di un VB.NET e la versione C#, e sembra che anche loro hanno utilizzato diverse varianti di Cannone strumento in passato l’attacco di campagne pubblicitarie”.
Torna nel mese di settembre, ESET ricercatori hanno rivelato un separato Fantasia Orso campagna che utilizza LoJack in quello che potrebbe essere stato il primo caso documentato di un UEFI rootkit in natura.
Il team ha detto che il rootkit è stato trovato in bundle con la legittima sistema LoJack strumenti di ripristino, che è in grado di patch di una vittima del sistema e l’installazione di malware a livello di firmware.
Precedente e relativa copertura
Cina accusato di Marriott la violazione dei dati, Molti dei 2018 più pericoloso Android e iOS falle di sicurezza ancora minacciano la sicurezza del tuo dispositivo mobile Android malware ruba i soldi dal conto PayPal, mentre agli utenti di guardare impotente
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0