En mystisk hacker-gruppen er målrettet, og sandsynligvis smittet, kroatiske regering medarbejdere mellem februar og April i år.
Angribere, der er mistænkt for at være en stats-sponsoreret enhed, har målrettet ofre ved hjælp af spyd-phishing-kampagne, der efterlignede levering meddelelser fra den kroatiske post eller andre private tjenester.
E-mails indeholdt et link til en ekstern hjemmeside med en lookalike URL, hvor brugerne blev bedt om at downloade et Excel-dokument.
Brugere målrettet med aldrig-før-set malware
Dokumentet blev snøret med skadelig kode, pakket som en makro script, der syntes at have været stort set kopieret fra internettet, fra forskellige tutorials eller open source-projekter, der er hostet på StackOverflow.com, Dummies.com, Issuu.com, Rastamouse.mig, eller GitHub.com.
Makro script, hvis det er aktiveret af offeret, vil hente og installere malware på deres systemer. To forskellige sæt af malware nyttelast blev fundet under disse angreb.
Den første var den Rige bagdør, der er en del af Empire post-udnyttelse ramme, en penetration test-værktøj. Den anden var SilentTrinity, en anden post-udnyttelse værktøj, der svarer til den første.
I en præsentation på den Positive Hack-Dage (PHDays) konference i Maj, Alexey Vishnyakov, en Senior Specialist i Analyse af trusler for cyber-sikkerhed firma Positive Teknologier, sagde, at dette var den første gang, da en ondsindet trussel skuespiller havde weaponized den SilentTrinity værktøj i en aktiv malware distribution kampagne.
Den kroatiske regering har opdaget angreb i April
Mens de gik under radaren i to måneder, phishing-angreb til sidst blev opdaget i begyndelsen af April. Information Systems Security Bureau (ZSIS), de centrale statslige myndighed, der er ansvarlig for cyber-sikkerhed af Republikken Kroatien i statslige organer, der er udstedt to særskilte indberetninger om angreb [1, 2].
Staten cyber-security agency fælles indikatorer for kompromis, såsom fil-navne, registreringsdatabasenøgler, url ‘er og IP-adresser til angriberne’ kommando og kontrol (C&C) – servere, beder statslige organer til at tjekke logs og scanne computere for potentielle infektioner.
“Den kroatiske Indlæg har allerede taget skridt til at fjerne den ondsindede web-sites og servere, men begge malware versioner er i øjeblikket aktiv,” agenturet sagde. “Med denne malware angribere kan tage kontrol over en computer og udføre vilkårlige kommandoer under ledelse af den bruger, der åbnede XLS-fil og i stand til at udføre den makro-kommandoer.”
I en rapport offentliggjort i dag, Vishnyakov påpeget visse forbindelser mellem C&C-servere, der bruges i denne kampagne rettet mod kroatiske regering agenturer og seneste malware distribution.
Det vigtigste er en FireEye rapport om hackere ved hjælp af et WinRAR sårbarhed til at inficere regeringens mål i Ukraine med det samme Empire bagdør, og med samme C&C server. Mens FireEye aldrig tilskrives disse angreb til en bestemt hacker-gruppen, målretning af den ukrainske regering er specifikke for den russiske trussel aktører, der har været rettet mod landets embedsmænd og offentlige myndigheder siden 2014, hvor russiske tropper invaderede Krim-halvøen.
Mens Vishnyakov afstået fra at tillægge disse angreb på en specifik trussel skuespiller, forskeren gjorde opmærksom på, at “de tilgængelige data på værter, adresser og domæner, der anvendes, samt det høje antal af forbindelser mellem dem-foreslår, at en stor-skala ondsindede kræfter.”
Relaterede malware og it-kriminalitet dækning:
US Cyber Command spørgsmål advare om hackere udnytter Outlook sårbarhed’Silence’ hackere ramte banker i Bangladesh, Indien, Sri Lanka, og KyrgyzstanSodinokibi ransomware er nu ved hjælp af en tidligere Windows nul-dayHacker, der blev lanceret DDoS-angreb på Sony, EA, Damp og får 27 måneder i prisonFirst nogensinde malware stamme spottet misbruger nye DoH DNS (over HTTPS) protocolTen år senere, malware-forfattere er stadig misbruger ‘Heaven’ s Gate’ – teknik Mere end 3B falske e-mails, der sendes dagligt som phishing-angreb fortsætter TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
EU
Sikkerhed-TV
Data Management
CXO
Datacentre