Irans stöd av hackare försöker infektera OSS militära veteraner med skadlig kod med hjälp av en skadlig webbplats, forskare från säkerhetsföretaget Cisco Talos rapporterade på tisdagen.
Webbplatsen, som ligger på hiremilitaryheroes[.]kom (bilden ovan), och erbjuder en falsk desktop app för att ladda ner, i hopp om att USA: s militära veteraner skulle ladda ner och installera det, förmodligen för att få tillgång till jobb erbjudanden.
Men Cisco Talos forskare säger att appen bara installerar skadlig kod på användarnas system och visar ett felmeddelande som anger att installationen misslyckades.
Bild: Cisco Talos
Malware är en infostealer+RÅTTA combo
Bakom kulisserna, skadliga program fortsätter att fungera på offrens datorer, insamling av information om systemets tekniska specifikationer och skicka data till en angripare-kontrollerad inkorg i Gmail.
Den typ av data malware samlar innehåller information om systemet, patch nivå, antalet processorer, konfigurering, hårdvara, firmware-versioner, den domänkontrollant, namn av admin, konto-lista, datum, tid, drivrutiner, etc..
“Detta är en betydande mängd information om en maskin och gör det möjligt för angriparen väl förberedda för att genomföra ytterligare attacker,” sade Warren Mercer, Paul Rascagneres, och Jungsoo En, tre Cisco Talos forskare som analyserat malware.
Men förutom en datainsamling komponent, skadlig kod installeras också en remote access-trojaner (RAT), en typ av skadlig kod som kan ge angripare åtkomst över ett infekterat system.
Enligt Cisco Talos rapport, RÅTTA komponent kan köra filer som hämtats från internet, exekvera shell-kommandon, och ta bort sig själv från en värd-datorn om det behövs.
Hackare mest sannolikt inriktning aktiva militärer, inte veteraner
I ljuset av dessa hackare övergripande förfaringssätt som verkar vara att använda falska militär veteran anställa webbplats för att infektera offer och sedan väljer du vilka mål de vill gå efter och ladda ner ytterligare nyttolast.
I en intervju på en gedigen bakgrund med ZDNet — eftersom han inte var behörig att tala på post för byrån-en DHS cybersäkerhet analytiker sade att angriparna är tydligt gå efter militära nätverk.
“Hackare är inte riktar veteraner, men ganska snart-till-vara veteraner,” sade han. “De är inriktade aktiva militärer som söker jobb för när tjänsten slutar.
“De [hackare] hoppas att ett av deras mål skulle använda en DOD system för att hämta och köra skadlig kod,” tillade han. “Chanserna är låga, men det är värt en chans.
“Ganska smart strategi, om jag får säga det så.”
Drift kopplas till Sköldpadd grupp
Cisco Talos sade att det inte har några detaljer om de metoder som hackare använde för att sprida länkar till denna webbplats och lura offer till att installera skadlig kod. Det kan också vara att forskarna fångade denna plats innan det var aktivt spammad till veteraner.
Talos laget även länkat denna kampanj för att arbetet i en nyligen upptäckt statsfinansierade dataintrång grupp som heter Sköldpadd, som tros vara i drift under skydd av den Iranska regeringen.
Lite är känt om denna grupp, vars verksamhet bara som nyligen kom till spetsen, efter att publiceringen av en Symantec-rapport i förra veckan.
Enligt Symantec, den gruppen har tidigare sett deltar i supply-chain attackerna den 11 IT-leverantörer baserade i Saudiarabien. Man tror att syftet med dessa attacker var att använda dessa 11 företag ” infrastruktur för att släppa malware på nätverk av deras respektive kunder.
Mer information om denna koncernens verksamhet kommer sannolikt att ytan under de kommande månaderna. Kollega it-säkerhet säljaren CrowdStrike spår denna grupp under ett annat namn Imperial Kattunge, per detta kalkylblad som samlar data om alla nationalstaten hacking verksamheten. Å andra sidan, it-säkerhetsföretaget FireEye anser att denna grupp är egentligen inte nytt, utan snarare en del av de äldre APT35.
I februari 2019, AMERIKANSKA tjänstemän åtalats en före detta US Air Force intelligence agent för förräderi efter att hon flydde till Iran under 2013 och senare arbetat med att hjälpa Irans regering hacka besättningar till mål och hacka tidigare flygvapnet kollegor.
Säkerhet
Kära operatörer, vänligen använda befintliga verktyg för att fastställa säkerhet
Massiv våg av konto kapar träffar på YouTube skapare
Apple kastrerad ad blockerare i Safari, men till skillnad från Chrome-användare inte säga en sak
GDPR ett år senare: De utmaningar som organisationer möter fortfarande (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Regeringar som fortfarande kämpar för att brottas med weaponized sociala medier plattformar (TechRepublic)
Relaterade Ämnen:
Regeringen
Säkerhet-TV
Hantering Av Data
CXO
Datacenter