Un misterioso gruppo di hacker ha preso di mira, e molto probabilmente infettato, governo croato dipendenti tra il febbraio e l’aprile di quest’anno.
Gli aggressori, che sono sospettati di essere stato sponsorizzato unità, hanno preso di mira vittime utilizzando una spear-phishing campagna che ha imitato le notifiche di consegna dal croato postali o altri servizi di vendita al dettaglio.
E-mail conteneva un link a un sito web remoto con un sosia URL, dove gli utenti sono stati invitati a scaricare un documento di Excel.
Gli utenti mirati con mai-prima-visto il malware
Il documento è stato cucita con codice dannoso imballato come uno script di macro che sembrava essere stato in gran parte copiato da internet, da vari tutorial o progetti open source ospitato su StackOverflow.com, Dummies.com, Issuu.com, Rastamouse.me, o GitHub.com.
Lo script di macro, se abilitato, da parte della vittima, sarebbe scaricare e installare malware sui loro sistemi. Due diversi insiemi di malware payload sono stati rilevati durante questi attacchi.
Il primo fu l’Impero backdoor, un componente dell’Impero post-sfruttamento quadro, un test di penetrazione utilità. Il secondo è stato SilentTrinity, un altro post-sfruttamento strumento, simile al primo.
In una presentazione presso la Positiva Hack Giorni (PHDays) conferenza sulla sicurezza di Maggio, Alexey Vishnyakov, una Specialista di Analisi delle Minacce per la cyber-sicurezza ditta Positivo Tecnologie, ha detto che questa era la prima volta quando una minaccia nociva attore aveva un’arma il SilentTrinity strumento attivo di un malware campagna di distribuzione.
Governo croato rilevato attacchi nel mese di aprile
Mentre sono andato sotto il radar per due mesi, gli attacchi di phishing sono stati poi rilevati ai primi di aprile. L’Information Systems Security Bureau (ZSIS), l’autorità dello stato centrale responsabile per la cyber-sicurezza della Repubblica di Croazia organi dello stato, ha emesso due distinti avvisi circa gli attacchi [1, 2].
Lo stato di cyber-security agency degli indicatori condivisi di compromesso, come i nomi di file, chiavi di registro, Url e indirizzi IP per gli attaccanti ” comando e controllo (C&C), i server di chiedere le agenzie di stato per controllare i registri e scansione del computer per i potenziali infezioni.
“Il croato Post ha già provveduto a rimuovere i siti web dannosi e server, ma entrambe le versioni di malware sono attualmente attivi”, scrive l’agenzia. “Con questo hacker malware può prendere il controllo di un computer e di eseguire comandi arbitrari sotto l’autorità dell’utente che ha aperto il file XLS e abilitato a eseguire la macro comandi.”
In un rapporto pubblicato oggi, Vishnyakov sottolineato alcune connessioni tra i C&C server utilizzati in questa campagna di targeting governo croato agenzie e passato la distribuzione di malware operazioni.
La più importante è una FireEye report su hacker di utilizzare WinRAR vulnerabilità di infettare gli obiettivi del governo in Ucraina con lo stesso Impero backdoor, e utilizzando lo stesso server C&C. Mentre FireEye mai attribuito gli attacchi di uno specifico gruppo di hacker, il targeting del governo ucraino è specifico per la minaccia russa attori, che hanno preso di mira il paese di funzionari e di agenzie governative, a partire dal 2014, quando le truppe russe invasero la penisola di Crimea.
Mentre Vishnyakov si è astenuta dall’attribuzione di questi attacchi a una specifica minaccia attore, il ricercatore ha fatto notare che “i dati disponibili sugli host, indirizzi e domini utilizzati, nonché l’elevato numero di connessioni tra di loro, suggerisce una grande scala dannoso sforzo.”
Correlati malware e attacchi informatici di copertura:
US Cyber Command problemi di avviso circa gli hacker sfruttano vulnerabilità di Outlook’Silence’ hacker ha colpito le banche in Bangladesh, India, Sri Lanka, e KyrgyzstanSodinokibi ransomware è ora, con un precedente di Windows zero-dayHacker che hanno lanciato attacchi DDoS su Sony, EA, Vapore e si ottiene 27 mesi in prisonFirst-mai malware ceppo macchiato di abusare di nuovo DoH DNS (su HTTPS) protocolTen anni più tardi, gli autori di malware sono ancora abusare della ‘Porta del Cielo’ di tecnica in Più rispetto 3B falsi messaggi di posta elettronica inviati ogni giorno, come gli attacchi di phishing persistono TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
UE
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati