Gratis malware tools worden benut voor de opzet
“Toen het russische leger is het gebruik van gratis spullen, je weet hoe goed dat spul is.”
De oekraïense regering en het leger wordt gericht met spear-phishing aanvallen als onderdeel van een cyber-spionage-operatie die gebaseerd is rond laten vallen krachtige malware.
Deze phishing-aanvallen zijn beschreven door onderzoekers van cybersecurity bedrijf FireEye, die schadelijke e-mails worden verzonden naar de oekraïense militaire afdelingen in januari van dit jaar. De malware wordt verzonden, vermoedelijk met het doel van controle-informatie over de militaire en politieke belangen van de oekraïense regering.
Kwaadaardige e-mails verzonden met als onderwerp “SPEC-20T-MK2-000-ISS-4.10-09-2018STANDARD” beweerde te zijn van een door de engelse defensie fabrikant en beweerd dat het volgen van een vorige vergadering en aangeboden “ontwikkelingssamenwerking met de oekraïense partners”.
Die stuurde de e-mails worden uitgenodigd voor het downloaden van een bijlage met de naam “Armtrac-Commercieel.7z” die dan het downloaden van een zip-bestand, dat de inhoud van die twee Word-documenten en een kwaadaardige LNK-bestand – een snelkoppeling gebruikt door Windows als een verwijzing naar het oorspronkelijke bestand, maar met een gesmede uitbreiding zich voor te doen als een PDF-bestand en vermomd als een Microsoft Word-pictogram.
Dit op zijn beurt maakt gebruik van een PowerShell script te downloaden van een tweede fase van de lading van een command-and-control-server te laten vallen malware op de beoogde machine, met het doel van de monitoring en het stelen van gevoelige informatie op de netwerken van de oekraïense militairen.
Een aantal verschillende ladingen hebben waargenomen wordt ingezet, met inbegrip van open-source Trojan malware families, zoals QuasarRAT en RatVermin. Sommige van de malware is ongelooflijk krachtig, het verstrekken van een achterdeur naar de geïnfecteerde systemen, samen met de toegang tot wachtwoorden en andere gevoelige informatie.
De oekraïense regering regelmaat op het ontvangende einde van een verscheidenheid van cyberaanvallen, maar de dreiging van de acteur wordt verondersteld om achter deze campagne richt zich bijna uitsluitend op het land.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Onderzoekers vermoeden dat deze aanval wordt uitgevoerd door een groep gebaseerd in de Luhansk People ‘ s Republic (LPR) die de onafhankelijkheid na de politieke omwenteling in 2014. Terwijl de groep heeft niet de kracht van een natie-staat is, deze campagne laat zien hoe kleinere groepen kunt nog steeds toegang krijgen tot geavanceerde, de ontwikkeling van malware-aanvallen.
“Terwijl cyber spionage wordt regelmatig benut als instrument van de macht van de staat, deze mogelijkheid is niet beperkt blijven tot de lidstaten,” John Hultquist, directeur van intelligence analyse op FireEye vertelde ZDNet.
“Net als nieuwe actoren steeds aangetrokken tot deze praktijk, veel substate actoren zal onvermijdelijk het ontwikkelen van mogelijkheden, vooral die met de middelen van een sponsor of nominale controle van het grondgebied,” voegde hij eraan toe.
De onderzoekers waarschuwen dat de aanslagen zijn nog steeds lopende is en dat de aanvallers zich blijven ontwikkelen in hun activiteiten en evolueren in wat wordt omschreven als een “interactieve” – aanpak van campagnes. Een lijst van indicatoren van het compromis is geplaatst in FireEye de technische analyse van de campagne.
LEES MEER OVER CYBERCRIMINALITEIT
Trojan malware: De verborgen cyber bedreiging voor uw PC –De toekomst van cyberwar: Weaponised ransomware, IoT aanvallen en een nieuwe wapenwedloop TechRepublicPhishing-aanvallen: de Helft van de organisaties slachtoffer zijn geworden in de afgelopen twee jaarHoe spot een phishing e-mail CNETGevuld met malware, phishing en oplichting, heeft het web moet een safety manual?
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters