Nul
Onderzoekers volgen de Fancy Dragen bedreiging groep is gebleken dat de blijvende gerichtheid van de NAVO-uitgelijnd natie-staten bij een nieuwe campagne.
Volgens onderzoekers van Palo Alto Networks, de laatste golf van aanvallen, aangeduid als de “Beste Joohn” beweging, is ook bewegen tegen de voormalige SOVJET-unie natie-staten.
In een blogpost van deze week, het team zei dat Mooie Beer-ook bekend als Sofacy, APT28, STRONTIUM, Pion Storm, en Sednit — is opvallend groepen met politieke banden, als private organisaties.
De APT is actief van ten minste 2014 en is gekoppeld aan de cyberaanvallen tegen de AMERIKAANSE Democratische National Committee (DNC), het Wereld Anti-Doping Agentschap (WADA), het oekraïense leger, en vele anderen. Het is over het algemeen aangenomen dat de dreiging actoren worden gesponsord door de russische regering.
Mooie Beer heeft onlangs ook zijn aangesloten op Earworm, een aparte russische hacken van de groep, als gevolg van de mogelijke verdeling van de tools en infrastructuur.
De campagne is een frisse rand van laat met de toenemende inzet van bewapende documenten onder de naam “Joohn” die het uitvoeren van de Zebrocy en Kanon tools.
In oktober en November van dit jaar, doelen gevestigd op vier continenten zijn geworden van de ontvangers van Joohn documenten.
Negen monsters werden verzameld door Palo Alto van would-be slachtoffer organisaties, met inbegrip van buitenlandse zaken, kantoren en overheidsinstellingen. In elk geval, de eerste aanval was spear phishing, met bestandsnamen gemaakt van een verwijzing naar actuele politieke kwesties, zoals Brexit, de Lion Air crash, en de raketbeschietingen op Israël.
De ontvangers van deze berichten, verzonden van e-mail adressen die keek vergelijkbaar met een legitieme regering entiteiten, zou worden gevraagd om het downloaden van schadelijke Microsoft Word-bestanden.
Deze documenten zou dan het ophalen van een schadelijke macro en toestemming vragen aan de gebruiker macro ‘ s inschakelen om te infecteren het systeem van het slachtoffer.
“De meerderheid van de levering documenten bevatten een algemene lokken afbeelding aanvragen van het slachtoffer macro’ s inschakelen zonder extra inhoud, de tegenstanders schijnbaar volledig te vertrouwen op lokken bestandsnamen te verleiden slachtoffers om de lancering van de kwaadaardige document,” de onderzoekers gezegd.
Sommige van deze lokken de beelden zou bevatten de NAVO EOD zeehonden. Een voorbeeld verkregen door de firma opgenomen instructies in het russisch, wat het team staat “kan geven aan het beoogde doel was een russisch sprekende natie-staat.”
Zie ook: Voormalig Mt. Gox CEO kon het gezicht van 10 jaar achter de tralies in geval verduistering
Als u Zin heeft in Bear ‘ s command-and-control (C2) – servers actief zijn wanneer het document wordt uitgevoerd, wordt de macro wordt geladen via een externe sjabloon. Echter, als inactief is, worden de macro ‘ s inschakelen prompt verschijnt nooit.
De Joohn de naam van de auteur werd gebruikt in de meerderheid van de verkregen documenten, alsmede de externe sjablonen. Het blijkt ook dat het IP-gebaseerd C2s gebruikt in de Beste Joohn campagne is gescheiden van andere strafrechtelijke regeling van de infrastructuur die wordt gebruikt door Fancy Dragen.
Een keer uitgevoerd, de documenten leveren het Kanon en Zebrocy Trojaanse paarden. Een aantal van Zebrocy varianten worden gebruikt door de aanvallers en zijn geschreven in talen, waaronder Delphi, C#, en VB.NET.
TechRepublic: 15 vaardigheden die je nodig hebt om een whitehat hackers en make-up tot $145K per jaar
Onderzoekers hadden eerder alleen bekend is over de Delphi-variant.
De Trojan is in staat om het verzamelen van de gegevens van het systeem en sturen deze naar de C2-server via het HTTP-POST-aanvragen, ontvangen en uitvoeren in ruil gewichten zoals de open-source penetration testing kit Koadic.
De eerste bekende voorbeeld van het Kanon werd verzameld in April van dit jaar. De C# tool aangenomen wordt dat in ten minste zeven verschillende smaken en functioneert als een downloader door het sturen van e-mails naar de C2-server voor het verkrijgen van extra lading.
Echter, Kanon is ook uitgerust met de middelen om het verzamelen van informatie over het systeem, neem desktop screenshots, en het handhaven van de persistentie door een verscheidenheid van mechanismen.
“We geloven ook hebben we een Kanon variant geschreven in Delphi,” Palo Alto zegt. “We hebben gezien Sofacy het gebruik van meerdere talen maken van varianten van de Zebrocy Trojan, dus het lijkt logisch dat de groep zou creëren van extra varianten van het Kanon in meerdere programmeertalen.”
CNET: Iran-linked hackers naar verluidt gericht activisten en AMERIKAANSE functionarissen
“De groep duidelijk een voorkeur voor het gebruik van een simpele downloader zoals Zebrocy als eerste-fase-vrachten in deze aanvallen,” de onderzoekers toegevoegd. “De groep blijft de ontwikkeling van nieuwe varianten van Zebrocy door het toevoegen van een VB.NET en C# versie, en het blijkt dat ze ook hebben gebruikt, verschillende varianten van het Kanon tool in het verleden aanval campagnes.”
Terug in September, ESET onderzoekers bleek een aparte Mooie Beer campagne die gebruik maakt van LoJack in wat misschien wel de eerste gedocumenteerde geval van een UEFI-rootkits in het wild.
Het team zei de rootkit gevonden werd gebundeld met de legitieme LoJack systeem recovery toolset, die in staat is om de patch het systeem van het slachtoffer om malware te installeren bij de firmware-niveau.
Vorige en aanverwante dekking
China de schuld voor het Marriott data breach Veel van 2018 gevaarlijkste Android-en iOS-beveiligingsfouten nog steeds een bedreiging vormen voor uw mobiele beveiliging van Android-malware steelt geld van PayPal-accounts, terwijl gebruikers kijken hulpeloos
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0