Zero
Des chercheurs de suivi de la Fantaisie de l’Ours menace de groupe ont révélé la persistance de ciblage de l’OTAN-alignés états-nations à travers une nouvelle campagne.
Selon des chercheurs de Palo Alto Networks, la dernière vague d’attaques, intitulé la “Chers Joohn” le mouvement, c’est aussi bouger contre l’ex-URSS, les états-nations.
Dans un billet de blog cette semaine, l’équipe a dit que la Fantaisie de l’Ours-également connu comme le Sofacy, APT28, le STRONTIUM, le Pion de la Tempête, et Sednit — qui est frappant, les groupes unis par des liens politiques, ainsi que des organisations privées.
L’APT a été actif à partir de 2014 et a été liée à des cyberattaques contre les etats-unis Comité National Démocrate (DNC), l’Agence Mondiale Antidopage (AMA), les militaires ukrainiens, et beaucoup d’autres. Il est généralement admis que la menace acteurs sont parrainés par le gouvernement russe.
Fantaisie Ours a également été récemment connecté à Foreur, un russe de hacking groupe, en raison du potentiel de partage des outils et de l’infrastructure.
La campagne a été donné une nouvelle pointe de la fin avec le déploiement accru de se documents sous le nom de “Joohn” qui s’exécutent de la Zebrocy et Canon outils.
Au cours d’octobre et novembre de cette année, les cibles situées sur les quatre continents sont devenus les bénéficiaires de Joohn documents.
Neuf échantillons ont été recueillis par Palo Alto contre les organisations de victimes, y compris des affaires étrangères des bureaux et des entités gouvernementales. Dans chaque cas, le premier vecteur d’attaque a été le “spear phishing”, avec les noms de fichiers conçu pour référence les questions politiques actuelles comme un brexit, le Lion accident d’avion, et les tirs de roquettes en Israël.
Les destinataires de ces messages, envoyés à partir de l’adresse email qui ressemblaient à un gouvernement légitime entités, serait invité à télécharger malveillants fichiers de Microsoft Word.
Ces documents seront ensuite récupérer une macro malveillant, et demander l’autorisation de l’utilisateur à activer les macros dans le but d’infecter le système de la victime.
“La majorité des documents de la livraison contient un générique leurre image en demandant à la victime activer les macros avec pas de contenu supplémentaire, les adversaires s’appuyant apparemment uniquement sur lure les noms de fichiers pour inciter les victimes à lancer le malveillant document,” les chercheurs ont dit.
Certains de ces lure images comprendrait NEM de l’OTAN sceaux. Un exemple obtenu par l’entreprise contenue instructions en russe, l’équipe se dit “peut indiquer la cible était un russe parlant de l’état-nation.”
Voir aussi: l’Ancien Mt. Gox chef de la direction pourrait faire face à 10 ans derrière les barreaux dans des cas de détournement de fonds
Si la Fantaisie de l’Ours de commande et de contrôle (C2) les serveurs sont actifs lorsque le document s’exécute, la macro est chargé via une télécommande modèle. Toutefois, si inactif, l’activation des macros invite n’apparaît jamais.
Le Joohn le nom de l’auteur a été utilisé dans la majorité des documents obtenus, ainsi que les modèles distants. Il apparaît également que l’IP de C2s utilisé dans le Cher Joohn campagne est distinct des autres pénale schéma de l’infrastructure utilisée par la Fantaisie de l’Ours.
Une fois exécuté, les documents à livrer le Canon et Zebrocy les chevaux de Troie. Un certain nombre de Zebrocy les variantes sont utilisées par les attaquants et sont rédigés dans les langues y compris Delphi, C#, et VB.NET.
TechRepublic: 15 compétences dont vous avez besoin pour être un whitehat hacker et faire jusqu’à $145K par an
Les chercheurs avaient déjà connu qu’à Delphes variante.
Le cheval de Troie est capable de recueillir des données du système et de l’envoyer à l’C2 serveur via HTTP POST demandes, de la réception et de l’exécution, en retour, les charges telles que l’open-source, tests de pénétration du kit de Koadic.
Le premier échantillon de Canon ont été recueillis en avril de cette année. Le C# outil est estimé à au moins sept saveurs différentes et des fonctions comme un téléchargeur de l’envoi de mails à l’C2 serveur pour obtenir d’autres charges.
Cependant, le Canon est également équipé avec les moyens de recueillir les informations système, de prendre des captures d’écran de bureau, et de maintenir la persistance à travers une variété de mécanismes.
“Nous pensons avoir trouvé un Canon variante écrit en Delphi,” Palo Alto dit. “Nous avons vu Sofacy l’utilisation de plusieurs langues pour créer des variantes de la Zebrocy de Troie, il semble donc approprié que le groupe serait de créer des variantes supplémentaires de Canon dans plusieurs langages de programmation.”
CNET: Iran-lié pirates auraient ciblé des militants et des représentants des états-unis
“Le groupe montre clairement une préférence pour l’utilisation d’un simple downloader comme Zebrocy première étape de charges dans ces attaques,” les chercheurs ont ajouté. “Le groupe continue de développer de nouvelles variations de Zebrocy par l’ajout d’un VB.NET et la version C#, et il semble que ils ont également utilisé les différentes variantes du Canon de l’outil dans le passé, l’attaque des campagnes.”
De retour en septembre, ESET chercheurs ont révélé une distinct de Fantaisie Ours campagne qui utilise LoJack dans ce qui peut avoir été le premier cas documenté d’un UEFI rootkit dans la nature.
L’équipe a déclaré le rootkit a été trouvé livré avec la légitime LoJack système de récupération d’outils, qui est capable de traiter une victime du système, dans le but d’installer les logiciels malveillants au niveau de micrologiciel.
Précédente et de la couverture liée
La chine a blâmé pour Marriott violation de données à Beaucoup de 2018 les plus dangereux Android et iOS failles de sécurité encore de menacer votre sécurité mobile malware Android vole de l’argent à partir de comptes PayPal, tandis que les utilisateurs regardent impuissants
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0