Gratis malware-værktøjer udnyttes til ondsindede hensigter
“Når det russiske militær er ved hjælp af gratis ting, du ved, hvor god ting.”
Den ukrainske regering og militær er ved at blive ramt med et spyd-phishing-angreb som en del af et cyber-spionage operation baseret omkring droppe stærk malware.
Disse phishing-angreb har været beskrevet af forskere på cybersecurity firma FireEye, der er identificeret ondsindede e-mails, der sendes til det ukrainske militær afdelinger i januar i år. Malware er ved at blive sendt, formentlig, med det formål at overvåge oplysninger om den militære og politiske interesser af den ukrainske regering.
Ondsindede e-mails, der sendes med emnelinjen “SPEC-20T-MK2-000-ISS-4.10-09-2018STANDARD” foregav at være fra en BRITISK forsvar producent og hævdede at være følgende op fra et tidligere møde og tilbød “udviklingssamarbejde med ukrainske partnere”.
De sendte e-mails opfordres til at downloade en vedhæftet fil med det filnavn, “Armtrac-Kommercielle.7z”, som så downloader en zip-fil, hvis indhold er to Word-dokumenter og en ondsindet LNK-filer – en genvej, der bruges af Windows som en henvisning til den oprindelige fil, men med et smedet udvidelse til at udgive en PDF-fil, og forklædt som en Microsoft Word-ikonet.
Dette vil til gengæld bruger en PowerShell script til at hente en second-stage nyttelast fra en kommando-og kontrol-server til slip malware på den målrettede maskine, med henblik på overvågning og stjæle følsomme oplysninger om netværk i det ukrainske militær.
En række forskellige nyttelaster er blevet observeret at være udstationeret, herunder open source-Trojan, malware familier som QuasarRAT og RatVermin. Nogle af malware, er utrolig potente, hvilket giver en bagdør ind i de inficerede systemer, sammen med adgang til adgangskoder og andre følsomme oplysninger.
Den ukrainske regering regelmæssigt befinder sig på den modtagende ende af en række cyberangreb, men den trussel, som skuespiller, som menes at stå bag denne kampagne fokuserer næsten udelukkende på land.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Forskerne tror, at dette angreb er foretaget af en gruppe baseret i Luhansk-People ‘ s Republic (LPR), der erklærede uafhængighed efter den politiske omvæltning i 2014. Mens den gruppe, der ikke har effekt af en nation-stat, at denne kampagne viser, hvor mindre grupper kan stadig få adgang til avancerede, nye malware-angreb.
“Mens cyber-spionage er jævnligt benyttet som et redskab for staten, magt, denne evne er ikke begrænset til stater,” John Hultquist, direktør for intelligens analyse på FireEye fortalte ZDNet.
“Lige som nye statslige aktører er konsekvent udarbejdet til denne praksis, og mange substate aktører vil uundgåeligt udvikle de kapaciteter, som godt, især dem med de ressourcer, der af en medlemsstat, sponsor eller den nominelle kontrol af territorium,” tilføjede han.
Forskere advarer om, at angrebene er stadig i gang, og at angriberne fortsætte med at udvikle deres aktiviteter og udvikle sig i hvad der er beskrevet som “meget interaktiv” tilgang til kampagner. En liste af indikatorer for kompromis, der er blevet udgivet i FireEye tekniske analyse af kampagnen.
LÆS MERE OM IT-KRIMINALITET
Trojan, malware: Den skjulte cyber trussel mod din PC –fremtiden for cyberkrig: Weaponised ransomware, IoT-angreb, og et nyt våbenkapløb, TechRepublicPhishing-angreb: Halvdelen af organisationer, der har været ofre i de sidste to år, Hvordan at spot en phishing-e-mail CNETFyldt med malware, phishing og svindel, er web har brug for en safety manual?
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre