Forskare har upptäckt ett nytt cyberespionage kampanj som riktar sig till pro-Tibetanska individer i syfte att fördela ExileRAT Trojan.
På måndag, forskare från Cisco Talos sade att den nya kampanjen ger en skadlig Microsoft PowerPoint-dokument som innehåller Remote Access-Trojaner (RÅTTA) som kan stjäla system och personlig information, avsluta eller starta processer, övervakning och stöld av filer.
Skadlig kod sprids genom en “Tibetanska Nyheter” e-postlista som hör till den Centrala Tibetanska Administrationen (ackumulerad omräkningsjustering, CTA), en organisation som representerar den Tibetanska exilregeringen.
Se även: NanoCore Trojan är skyddade i minnet från att dödas av
Listan används för att kontakta anhängare och drivs genom Indien-baserade DearMail. Talos säger att angriparna kunde ändra standard-Svar-till header så svaren skulle skickas tillbaka till en e-postadress som förvaltas av bedragare.
Skadlig e-post referenser de kommande 60-årsdagen av Dalai Lama i exil och man tror varje abonnent har fått phishing-meddelande.
Mottagare av e-post som skickas via riktade phishing presenteras med en .PPSX fil som laddas med en exploit för CVE-2017-0199, en godtycklig kod säkerhetsproblem i Microsoft Office som blev fixad i och med 2017.
CNET: Apple stores ryska användares data på ryska servrar, säger rapporten
PowerPoint-dokument är en kopia av den legitima “Tibet-var-aldrig-en-del-av-Kina” presentation som publicerades i November 2018 av CTA.
Cisco Talos
.PPSX filen innehåller en pipett som drar Trojan från sitt kommando-och-kontroll (C20-server för utförande på ett sårbart system.
Intressant, Talos fann att C2 är ansluten till denna kampanj har också varit kopplade till LuckyCat Android – och Windows-baserade Trojaner i det förflutna.
LuckyCat tros vara pro-Kinesiska hotet aktörer i jakten på information som tillhör Tibetanska aktivister. En IP-adress kopplad till LuckyCat har också kopplats till en Mac-Trojan såg i naturen under 2012.
TechRepublic: 3 sätt statliga aktörer som riktar sig till företag i it-krigföring, och hur du skyddar dig
“Med tanke på att denna typ av skadlig kod, och de mål som är inblandade, är det sannolikt avsedd för spionage ändamål snarare än ekonomisk vinning,” Talos säger. “Detta är bara en del av en fortsatt trend av nation-statliga aktörer som arbetar för att spionera på civilbefolkningen av politiska skäl.”
I November samma team av forskare publicerade en undersökning av persiska Stalker, en potentiellt statligt sponsrade hot grupp som är inriktad på den Iranska användare av Telegram, en app som är förbjudna i landet. Phishing är att ta plats vid sidan av den övertagande Border Gateway Protocol (BGP) för att omdirigera trafiken, en attack som genomsnittlig användare kan inte försvara sig mot.
Tidigare och relaterade täckning
DarkHydrus missbruk Google Drive för att sprida RogueRobin Trojan
Denna Trojan attack lägger en bakdörr till din Windows-PC för att stjäla data
Denna gamla trojan lär sig nya tricks i sin senaste banking info och lösenord som stjäl kampanj
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter