I ricercatori hanno scoperto un nuovo cyberespionage campagna che si rivolge pro-Tibet persone in modo da distribuire il ExileRAT Trojan.
Lunedì, ricercatori Cisco Talos ha detto che la nuova campagna offre un malware Microsoft PowerPoint documento contenente il Trojan di Accesso Remoto (RATTO) che è capace di rubare il sistema e le informazioni personali, la chiusura o l’avvio di processi, di sorveglianza e il furto di file.
Il malware è stato diffuso attraverso un “Tibet News” mailing list appartenenti all’Amministrazione Centrale Tibetana (CTA), un’organizzazione che rappresenta il governo Tibetano in esilio.
Vedi anche: NanoCore Trojan è protetta in memoria di essere ucciso, off
L’elenco viene utilizzato per contattare i sostenitori ed è gestito attraverso l’India a base di DearMail. Talos dice che gli aggressori erano in grado di modificare la Risposta di intestazione in modo risposte dovrebbe essere inviata all’indirizzo di posta elettronica gestito da truffatori.
La posta elettronica dannosi riferimenti prossimi 60 ° anniversario del Dalai Lama in esilio, e si è creduto di ogni sottoscrittore ha ricevuto il messaggio di phishing.
I destinatari delle e-mail inviate attraverso il targeting schema di phishing sono presentati con un .File PPSX, che viene caricato con un exploit CVE-2017-0199, un codice arbitrario vulnerabilità in Microsoft Office che è stato patchato nel 2017.
CNET: Apple store russo i dati degli utenti sul server russo, rapporto dice
Il documento di PowerPoint è una copia legittima del “Tibet-è-mai-una-parte-della-Cina” di presentazione che è stato pubblicato nel novembre del 2018 con il CTA.
Cisco Talos
L’ .File PPSX contiene un contagocce che tira il Trojan dal suo comando-e-controllo (C20 server per l’esecuzione su un sistema vulnerabile.
È interessante notare che, Talos trovato che la C2 collegato a questa campagna è stata anche legata alla LuckyCat Android – Windows-based Trojan in passato.
LuckyCat è creduto per essere il lavoro di pro-Cinese minaccia attori nella ricerca di informazioni appartenenti ad attivisti Tibetani. Un indirizzo IP connesso LuckyCat è stato anche collegato a un Mac Trojan avvistato in natura nel 2012.
TechRepublic: 3 modi di attori statali di destinazione imprese nella guerra cibernetica, e come proteggersi
“Data la natura di questo malware e il target coinvolti, è probabile progettato per lo spionaggio scopi, piuttosto che il guadagno finanziario,” Lui dice. “Questo è solo l’inizio di un trend costante di stato-nazione attori che lavorano per spiare le popolazioni civili per ragioni politiche”.
Nel mese di novembre, il team di ricercatori ha pubblicato un indagine in persiano Stalker, che, potenzialmente, sponsorizzato da uno stato di minaccia, il gruppo di targeting Iraniano utenti di Telegramma, un’app vietato nel paese. Il Phishing è di prendere posto a fianco l’acquisizione di Border Gateway Protocol (BGP) per reindirizzare il traffico Internet, un attacco che in media gli utenti non possono difendersi.
Precedente e relativa copertura
DarkHydrus abusi di Google Drive per diffondere Trojan RogueRobin
Questo Trojan attacco aggiunge una backdoor per il vostro PC Windows per rubare i dati
Questa vecchia troia impara nuovi trucchi nella sua ultima banking info e per il furto di password campagna
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati