A buon mercato e di anni: Scricchiolante malware è dimostrato popolare con i truffatori
Data una scelta tra free state-of-the-art, i criminali informatici sanno che preferiscono.
Un sospetto nazione statali per il gruppo di hacker ha tentato di infiltrarsi NOI utilità imprese nel mese di luglio, i ricercatori dicono.
Giovedì, Proofpoint ricercatori Michael Raggi e Dennis Schwarz ha detto che tra il 19 luglio e il 25 luglio, spear-phishing e-mail sono state inviate a tre società responsabile per la fornitura di servizi di utilità per il pubblico.
L’e-mail di phishing rappresentato ingegneria, licensing board statunitense Consiglio Nazionale degli Esaminatori per Ingegneria e Topografia, e ha tentato di suscitare il panico tra i destinatari, facendo finta che la vittima società aveva fallito un esame.
Questa è una tecnica comune utilizzata nella e-mail di phishing e in altri esempi tra falsi banca di prelievo e-mail, fiscale esigenze e di prestito di allievo reclami. Se un bersaglio è spaventato, possono essere più suscettibili a seguire una e-mail di phishing istruzioni senza pensare le cose attraverso.
CNET: Snowden dice Facebook spiare su di voi e vuole aiutare a combattere indietro
Contenuti all’interno del messaggio è un documento di Microsoft Word, denominato Risultato Notice.doc, che ha usato le macro incorporate a molla codice dannoso sul destinatario del sistema.
L’e-mail è nato da un indirizzo IP che ha portato alla scoperta di altri domini utilizzati per rappresentare altri di ingegneria elettrica e licenze agenzie degli Stati Uniti. Tuttavia, solo l’originale di dominio, nceess[.]com, sembra essere attiva in corrente campagne di phishing.
Se una vittima apre il file e consente di macro VBA, tre Privacy Enhanced Mail (PEM), i file vengono eliminati; tempgup.txt, tempgup2.txt e tempsodom.txt. Questi file vengono poi decodificato e trasformato in blocco note-la rappresentazione GUP.exe, libcurl.dll — un dannoso loader — e sodom.txt un file che contiene comando e controllo (C2) le impostazioni di configurazione per il codice dannoso.
Vedi anche: Questo nuovo Android ransomware si infetta attraverso messaggi SMS
Il malware, soprannominato look back, viene quindi lanciato via GUP.exe e libcurl.dll.
Look back è un Trojan di Accesso Remoto (RATTO), scritto in C++, che è in grado di visualizzare i dati di sistema, eseguire shellcode, manomettere, sottrarre, e la cancellazione di file, prendere screenshot, terminare i processi, spostare e fare clic su un mouse senza interazione con l’utente, la forza di un PC infetto al riavvio a capriccio, e rimuoverlo dalla macchina.
Look back è anche in grado di creare un canale C2 e proxy al fine di sottrarre e invio di informazioni di sistema per il server aggressore.
Proofpoint ha collegato i recenti attacchi con APT campagne nel 2018 collegate a imprese Giapponesi. I ricercatori di FireEye ha detto che il gruppo, conosciuto come APT10 o Menupass — attaccando le aziende dei media sembra essere Cinese e ha una storia di andare dopo che i target in Giappone.
Se è la stessa minaccia attori, questo potrebbe dimostrare che APT10 si ramifica per CI sono imprese nella hit-list.
TechRepublic: Come costruire una vulnerabilità di un piano di risposta: 6 suggerimenti
Ditta conclusioni che look back è il lavoro di un gruppo sponsorizzato cercando di disturbare il core utilities e servizi non sono possibili, come i ricercatori fanno notare che il malware non è stato attivamente associati con qualsiasi APT in precedenza e “nessuna infrastruttura aggiuntiva o codice sovrapposizioni sono stati identificati per suggerire un’attribuzione di uno specifico avversario.”
Tuttavia, le macro fornire un indizio per sponsorizzata dallo stato di attività. Molti dei collegamenti tra la macro e VBA funzione di offuscamento, sono sorprendentemente simili a il codice utilizzato nel suddetto Giapponese attacchi, nonostante vengano riscritti.
“Crediamo che questo potrebbe essere l’opera di uno stato sponsorizzato da APT attore basato su sovrapposizioni con campagne storiche e le macro utilizzate,” Proofpoint, dice. “L’utilizzo di questa diversa metodologia di distribuzione accoppiato con un unico look back di malware in evidenza le continue minacce poste dal sofisticato avversari di impianti e di infrastrutture critiche fornitori”.
Precedente e relativa copertura
Nuovo Mirai botnet si nasconde nella rete Tor di rimanere sotto il radar
Oltre la metà di impresa, le imprese non hanno un indizio se la loro sicurezza informatica soluzioni di lavoro
Nuovo malware di Windows imposta proxy sul tuo PC per inoltrare il traffico dannoso
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati