Russische hackers een stap omhoog informatie te verzamelen en inspanningen
Onderzoekers van FireEye zeggen dat het Kremlin gesteunde hacken activiteiten proberen om een doel van de regeringen, de media en de politieke partijen als de verkiezingen aanpak.
Een nieuwe, gerichte aanval weaponizing TeamViewer is ontdekt die zich richt op het stelen van financiële gegevens die behoren tot overheids-en financiële doelen in heel Europa en daarbuiten.
Onderzoekers van Check Point zei maandag dat de campagne is specifiek gericht zijn op de ambtenaren van de overheidsfinanciën capaciteiten ambassade en vertegenwoordigers in Europa, naast Nepal, Kenia, Liberia, Libanon, Guyana, en Bermuda.
De infectie vector begint met een typische phishing e-mail met een kwaadaardige bijlage beweert een “Top Secret” documenten van de Verenigde Staten.
De e-mail verzonden naar potentiële slachtoffers bevat het onderwerp “Military Financing Program” en de .XLSM-document dat is gekoppeld aan het bericht is bewerkt met een logo van het US Department of State in een poging om de lijken legitiem.
×
screenshot-2019-04-23-in-12-33-35.png
Als een slachtoffer downloads en de bijlage opent, wordt ze gevraagd de macro ‘ s inschakelen — een zeer algemene methode die door aanvallers om toegang te krijgen tot een slachtoffer van een systeem. Moeten ze dat doen, worden er twee bestanden zijn uitgepakt — een legitieme AutoHotkeyU32.exe programma en een kwaadaardige TeamViewer DLL-bestand.
De AutoHotkeyU32 programma is gebruikt voor het verzenden van een POST request naar de aanvaller command-and-control (C2) – server, evenals download AHK-scripts in staat om een screenshot te maken van de doel-PC en stelen computer informatie die vervolgens wordt verzonden naar de C2.
Zie ook: Online beveiliging 101: Hoe om uw privacy te beschermen tegen hackers, spionnen, en de overheid
TeamViewer is een legitieme software wordt vaak gebruikt in de onderneming te behouden externe toegang tot Pc ‘ s en om bureaubladen te delen. Echter, gezien zijn capaciteiten, de software is helaas ook gebruikt door zowel cyberattackers en oplichters om grote te krijgen frauduleuze toegang tot systemen.
In dit geval, de software is weaponized. De kwaadaardige variant is uitgevoerd via DLL-side-loading en bevat gewijzigde functionaliteiten, zoals het verbergen van de TeamViewer-interface — zodat slachtoffers niet weten is dat de software wordt uitgevoerd — de mogelijkheid om op te slaan TeamViewer sessie referenties naar een tekst bestand en zowel de overdracht en uitvoering van extra .EXE-bestand en .DLL-bestanden.
Dit opent het slachtoffer systemen om data-diefstal, surveillance, en mogelijk het compromis van de online-accounts. Als de overheid entiteiten gericht waren vaak gebaseerd op financiën, dit suggereert dat de dreiging actoren financieel dan mogelijk politiek gemotiveerd.
CNET: CIA, naar verluidt, zegt Huawei gefinancierd door de Chinese staatsveiligheid
De campagne van de belangrijkste doelen van de overheidsfinanciën op de spelers in de sector en de regeling is gekoppeld aan het verleden aanslagen vermoedelijk het werk zijn van dezelfde bedreiging van de groep.
Alle voorbeelden geïmplementeerd trojanized versie van TeamViewer maar de eerste aanval is veranderd. In 2018, bijvoorbeeld, zelf-uitpakkende archieven werden gebruikt in plaats van AutoHotKey-enabled schadelijke documenten. Decoy beelden, met inbegrip van de inhoud die werd gestolen uit Kazachstan Ministerie van Buitenlandse Zaken en aangepast, in gebruik waren. Bewijs van eerdere campagnes suggereert ook dat de russische sprekers waren het doelwit.
Daarnaast zijn de schadelijke TeamViewer DLL-bestand is aangepast aan de loop van de tijd, het wisselen van basisinformatie diefstal tot de meer moderne C2-infrastructuur.
TechRepublic: De 5 meest gehackte wachtwoorden
De onderzoekers zeggen dat er bewijs is van een bedreiging van de acteur achter de campagne als russisch, vanwege de koppeling van een avatar is aangesloten op een russische underground forum gebruiker bekend als EvaPiks.
Het is geloofden dat de dreiging acteur is, op zijn minst, de ontwikkelaar van de hulpmiddelen die gebruikt worden in de campagne en de geschiedenis van de hacker in de punten van de vraag naar de metro. — de exploitatie en de uitwisseling van gestolen financiële informatie, zoals credit card gegevens.
Volgens de AMERIKAANSE Department of Justice (DoJ), kaarden is geëvolueerd in de afgelopen jaren (.PDF) te vergemakkelijken niet alleen financiële fraude, maar ook voor het financieren van terrorisme en drugshandel.
Vorige en aanverwante dekking
Online winkels voor overheden en multinationals gehackt via nieuwe lek
Hacker groep is het kapen van DNS-verkeer op de D-Link routers voor drie maanden
De zwitserse overheid nodigt hackers pen-test het e-voting systeem
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters