Goedkope en jaar: Krakende malware is nog steeds erg populair bij criminelen
De keuze tussen een gratis of een state-of-the-art, cybercriminelen weten dat zij de voorkeur geven.
Een verdacht natiestaat gesponsorde hacken van de groep probeerde te infiltreren in de AMERIKAANSE hulpprogramma ondernemingen in juli, onderzoekers zeggen dat.
Op donderdag, Proofpoint onderzoekers Michael Raggi en Dennis Schwarz zei dat het tussen 19 juli en 25 juli, spear-phishing e-mails werden verzonden naar drie AMERIKAANSE bedrijven die verantwoordelijk zijn voor het leveren van nutsvoorzieningen op het openbaar.
De phishing-e-mails nagebootste een engineering-licentie raad van bestuur, de AMERIKAANSE Nationale Raad van de Examencommissie voor Bouwkunde en Landmeten, en probeerde te ontlokken paniek op de ontvangers door te doen alsof dat het slachtoffer een bedrijf had, mislukte een examen.
Dit is een veel voorkomende techniek die gebruikt wordt in phishing-e-mails en wordt gevonden in andere voorbeelden, waaronder nep-bank intrekking van e-mails, fiscale eisen, en student lening klachten. Als er een slachtoffer is bang, ze kunnen meer kans tot het volgen van een phishing e-mail de instructies zonder na te denken dingen door.
CNET: Snowden, zegt Facebook is het spioneren op je en wil je helpen terug te vechten
Die zijn opgenomen in het bericht is een Microsoft Word-document, genaamd Resultaat Notice.doc die gebruikt ingesloten macro ‘ s voor het voorjaar van schadelijke code op een ontvanger systeem.
De e-mails afkomstig van een IP-adres dat leidde tot de ontdekking van extra domeinen gebruikt om de personificatie van andere technische en elektrische vergunningverlenende instanties in de Verenigde Staten. Echter, alleen het oorspronkelijke domein, nceess[.]com, blijkt actief te zijn in de huidige phishing campagnes.
Als een slachtoffer opent het bestand en kan VBA-macro ‘ s, drie Privacy Enhanced Mail (PEM) – bestanden worden neergezet; tempgup.txt, tempgup2.txt en tempsodom.txt. Deze bestanden worden vervolgens gedecodeerd en omgezet in Kladblok-imiteert GUP.exe, libcurl.dll — een kwaadaardige loader — en sodom.txt een bestand waarin command-and-control (C2) configuratie-instellingen voor de schadelijke code.
Zie ook: Deze nieuwe Android ransomware infecteert u via SMS-berichten
De malware, genaamd LookBack, is vervolgens gestart via GUP.exe en libcurl.dll.
LookBack is een Remote Access Trojan (RAT), geschreven in C++, die in staat is om het systeem weergeven van gegevens, het uitvoeren van shellcode, te vervalsen, te stelen, en verwijderen van bestanden, het maken van schermafbeeldingen, killen, verplaatsen en klik met een muis zonder interactie van de gebruiker, de kracht van een geïnfecteerde PC opnieuw op te starten op gril, en verwijderen zich van een machine.
LookBack is ook in staat om een C2-kanaal en proxy om te exfiltrate en het verzenden van informatie over het systeem om de aanvaller de server.
Proofpoint verbonden zijn met de recente aanvallen met APT-campagnes in 2018 gekoppeld aan Japanse bedrijven. FireEye onderzoekers zei dat de groep, ook wel bekend als APT10 of Menupass — aanvallende media bedrijven lijkt Chinese en heeft een geschiedenis van te gaan nadat de slachtoffers in Japan.
Als het dezelfde dreigingen, dit zou kunnen aantonen dat APT10 is een vertakking naar zijn AMERIKAANSE bedrijven in de hit-lijst.
TechRepublic: Hoe te bouwen van een kwetsbaarheid, response plan: 6 tips
Harde conclusies te trekken die LookBack is het werk van een door de staat gesponsorde groep willen verstoren core utilities en diensten zijn niet mogelijk, omdat de onderzoekers er rekening mee dat de malware is niet actief betrokken is bij een APT eerder en “geen extra infrastructuur of code overlappingen geïdentificeerd te stellen voor een toeschrijving aan een bepaalde tegenstander.”
Echter, de macro ‘ s geven een idee van de overheid gesponsorde activiteit. Veel van de verbindingen tussen de macro ‘ s en VBA-functie verduistering zijn opvallend vergelijkbaar met de code die in de eerder genoemde Japanse aanvallen, ondanks herschreven.
“We geloven dat dit kan het werk van een door de staat gesponsord APT acteur gebaseerd op overlapt met historische campagnes en macro’ s gebruikt,” Proofpoint zegt. “Het gebruik van deze unieke methode in combinatie met unieke LookBack malware hoogtepunten de voortdurende dreiging van geavanceerde tegenstanders utilities systemen en kritische infrastructuur aanbieders.”
Vorige en aanverwante dekking
Nieuwe Mirai botnet schuilt in het Tor netwerk te blijven onder de radar
Meer dan de helft van enterprise ondernemingen die nog geen idee hebben als hun cybersecurity oplossingen werken
Nieuwe Windows malware stelt proxy ‘ s op uw PC te relais schadelijk verkeer
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters