Forskere har afsløret et nyt cyberespionage kampagne, som er rettet mod pro-Tibetanske personer med henblik på at distribuere ExileRAT Trojan.
Mandag, forskere fra Cisco Talos sagde, at den nye kampagne, der leverer en ondsindet Microsoft PowerPoint-dokument, der indeholder den Eksterne Adgang Trojan (ROTTE), som er i stand til at stjæle system og personlige oplysninger, annullering eller at iværksætte processer, overvågning og tyveri af filer.
Malware spredes gennem en “Tibetanske Nyheder” mailing liste, der tilhører Central Tibetan Administration (CTA), som er en organisation der repræsenterer den Tibetanske eksilregering.
Se også: NanoCore Trojan er beskyttet i hukommelsen fra at blive dræbt
Listen bruges til at kontakte tilhængere og drives gennem Indien-baseret DearMail. Talos siger, at angriberne var i stand til at ændre standard-Reply-til header, så svarene vil blive sendt tilbage til en e-mail-adresse, som forvaltes af svindlere.
Ondsindede e-mail-referencer den kommende 60-års-dagen for Dalai Lamas eksil, og det menes, at hver abonnent har modtaget en phishing-meddelelse.
Modtagere af e-mails sendt gennem målrettet phishing-ordningen er præsenteret med en .PPSX-fil, som er indlæst med en udnyttelse af CVE-2017-0199, en vilkårlig kode sårbarhed i Microsoft Office, som blev lappet sammen i 2017.
CNET: Apple stores russiske brugernes data på russiske servere, siger rapporten
PowerPoint-dokument er en kopi af den legitime “Tibet-var-ikke-en-del-af-Kina” præsentation, som blev offentliggjort i November 2018 af CTA.
Cisco Talos
.PPSX fil indeholder en pipette, der trækker den Trojanske hest fra sin kommando-og-kontrol (C20-server til udførelse på et sårbart system.
Det er interessant, Talos fandt, at C2 er tilsluttet til denne kampagne har også været knyttet til LuckyCat Android – og Windows-baseret Trojanske heste i fortiden.
LuckyCat menes at være udført af pro-Kinesiske trussel aktører i forfølgelsen af oplysninger, som tilhører Tibetanske aktivister. En IP-adresse forbundet til LuckyCat har også været forbundet med en Mac Trojan spottet i naturen i 2012.
TechRepublic: 3 måder statslige aktører target virksomheder i cyber warfare, og hvordan du beskytter dig selv
“I betragtning af arten af denne malware, og de mål, der er involveret, er det sandsynligt, designet til spionage formål, snarere end økonomisk gevinst,” Talos siger. “Dette er blot en del af en fortsættende tendens til nation-statslige aktører, der arbejder for at spionere på civilbefolkningen af politiske grunde.”
I November, det samme team af forskere, der offentliggjort en undersøgelse af persisk Stalker, en potentielt statsstøttet trussel gruppe, som er rettet mod Iranske brugere af Telegram, en app, der er forbudt i landet. Phishing er ved at tage plads ved siden overtagelsen af Border Gateway Protocol (BGP) til at omdirigere trafik på Internettet, et angreb, der i gennemsnit brugere ikke kan forsvare sig mod.
Tidligere og relaterede dækning
DarkHydrus misbrug Google Drev til at sprede RogueRobin Trojan
Denne Trojanske angreb tilføjer en bagdør til din Windows-PC til at stjæle data
Denne gamle trojanske lærer nye tricks i sin seneste banking info og password-stjæle kampagne
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre