Gratis malware verktyg utnyttjas för ont uppsåt
“När den ryska militären använder gratis saker, vet du hur bra det här är.”
Den ukrainska regeringen och militären är riktade med spear-phishing-attacker som en del av en cyber-spionage verksamhet baserad runt släppa kraftfullt malware.
Dessa phishing-attacker har varit närmare av forskare vid it-företaget FireEye, som identifierade skadliga e-postmeddelanden som skickas till ukrainska militära avdelningar i januari i år. Skadlig kod är att sändas, antagligen, med syftet att övervaka information om den militära och politiska intressen av den ukrainska regeringen.
Skadliga e-postmeddelanden som skickas med ämnesraden “SPEC-20T-MK2-000-ISS-4.10-09-2018STANDARD” påstods vara från STORBRITANNIEN och försvar tillverkare och hävdade att följa upp från ett tidigare möte och erbjuds samarbete för utveckling med ukrainska partner”.
De skickade e-post uppmanas att ladda ner en bifogad fil med filnamnet “Armtrac-Kommersiella.7z”, som sedan laddar ner en zip-fil, med det innehåll som två Word-dokument och en skadlig LNK-fil – en genväg används av Windows som en hänvisning till den ursprungliga filen, men med en smidd förlängning utge sig för att vara en PDF-fil och du är förklädd som en Microsoft Word-ikonen.
Detta i sin tur använder ett PowerShell script för att ladda ner en andra etapp av nyttolasten från en kommando-och-kontroll-server för att släppa skadlig kod på riktade maskin, vars syfte är att övervaka och stjäla känslig information om de nätverk som den ukrainska militära.
Ett antal olika nyttolaster har observerats att tas i bruk, bland annat open-source Trojan malware familjer som QuasarRAT och RatVermin. Några av skadlig kod är otroligt potent, vilket ger en bakdörr in i infekterade system, tillsammans med tillgång till lösenord och annan känslig information.
Den ukrainska regeringen regelbundet befinner sig på den mottagande slutet av en mängd olika it-angrepp, men hotet skådespelare som tros ligga bakom denna kampanj fokuserar nästan uteslutande på land.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Forskarna misstänker att den här attacken utförs av en grupp baserad i Luhansk folkrepubliken (LPR) som förklarade sig självständigt till följd av den politiska oron i och med 2014. Medan koncernen inte har makten i en nation-state, den här kampanjen visar hur mindre grupper kan fortfarande komma åt sofistikerad, framväxande malware attacker.
“Medan it-spionage är regelbundet tillvara som ett verktyg för statens makt, denna förmåga är inte begränsat till medlemsstater,” John Hultquist, chef för analyser på FireEye berättade ZDNet.
“Precis som nya statliga aktörer ständigt dras till denna praxis, många substate aktörer kommer oundvikligen att utveckla kapacitet, särskilt för dem med resurser i ett tillstånd sponsor eller nominell kontroll av territorium”, tillade han.
Forskare varnar för att de attacker som fortfarande pågår och att angriparna fortsätta att utveckla sin verksamhet och utvecklas i vad som beskrivs som en “mycket interaktiv” inställning till kampanjer. En lista över indikatorer som en kompromiss har varit inlagd i FireEye teknisk analys av kampanjen.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Trojan malware: De dolda it-hot mot din DATORframtida cyberkrig: Weaponised ransomware, IoT attacker och en ny kapprustning TechRepublicPhishing-attacker: Hälften av organisationerna har fallit offer under de senaste två årenHur platsen en phishing e-post CNETFylld med malware, phishing och bedrägerier, gör webben behöver en säkerhetsanvisning?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter