Nationsstatsstödda hackergrupper utnyttjar en enkel men effektiv ny teknik för att driva nätfiskekampanjer för att sprida skadlig programvara och stjäla information som är av intresse för deras regeringar.
Cybersäkerhetsforskare på Proofpoint säger att avancerade APT-grupper som arbetar på uppdrag av ryska, kinesiska och indiska intressen använder mallinjektioner i rikt textformat (RTF).
Även om användningen av RTF-textfilbilagor i nätfiske-e-postmeddelanden inte är ny, är tekniken som används av hackare lättare att implementera och effektivare eftersom det är svårare för antivirusprogram att upptäcka – och många organisationer kommer att t blockera RTF-filer som standard eftersom de är en del av den dagliga affärsverksamheten.
SE: En vinnande strategi för cybersäkerhet(ZDNet specialrapport)
Tekniken är RTF-mallinjektion. Genom att ändra en RTF-fils dokumentformateringsegenskaper är det möjligt för angripare att vapenisera en RTF-fil för att hämta fjärrinnehåll från en URL som kontrolleras av angriparna, vilket gör att de i hemlighet kan hämta en skadlig nyttolast som installeras på offrets dator.
Angripare kan använda RTF-mallinjektioner för att öppna dokument i Microsoft Word, som kommer att använda den skadliga URL:en för att hämta nyttolasten samtidigt som Word används för att visa lockbetedokumentet.
Det här tillvägagångssättet kan kräva att användare lockas till att möjliggöra redigering eller aktivera innehåll för att påbörja processen med att ladda ner nyttolasten, men med rätt form av social ingenjörskonst, särskilt på baksidan av ett övertygande lockbete, kan ett offer bli lurade att låta denna process äga rum.
Det är ingen komplicerad teknik, men eftersom den är enkel och pålitlig att använda har den blivit populär med flera nationalstatliga hackningsoperationer, som kan distribuera RTF-attacker istället för andra, mer komplexa attacker, men ändå få samma resultat.
Trots beteckningen “Avancerad” kommer de, om APT-aktörer gör sitt jobb bra, att anstränga sig minsta möjliga mängd resurser och sofistikering som krävs för att få tillgång till organisationer, säger Sherrod DeGrippo, vice vd för hotforskning och upptäckt vid Proofpoint.
“Detta förhindrar aktörer från att exponera mer sofistikerade verktyg om de upptäcks, vilket resulterar i en större driftsstörning för hotaktörsgrupper att ersätta tekniska kapaciteter när de upptäcks”, tillade hon.
Enligt forskare var den tidigaste kända instansen av en APT-grupp som använde RTF-mallinjektioner i en kampanj i februari 2021. Dessa injektioner genomfördes av DoNot Team, en APT-grupp som har kopplats till indiska statliga intressen .
Sedan dess har flera andra statligt kopplade hackningsoperationer också setts använda RTF-injektioner som en del av kampanjer. Dessa inkluderar en grupp som Proofpoint refererar till som TA423, även känd som Leviathan, som är en ATP-grupp som är kopplad till Kina, som har använt RTF-attacker i flera kampanjer sedan april.
SE: Dark web-skurkar undervisar nu i kurser om hur man bygger botnät
En av dessa kampanjer ägde rum i september och riktade sig till enheter i Malaysia relaterade till energiprospekteringssektorn – och kom med speciellt utformade nätfiske-e-postmeddelanden för att locka mål att oavsiktligt utföra nyttolasten.
Sedan i oktober upptäckte forskare Gamaredon – en kränkande hackningsgrupp som har kopplats till den ryska federala säkerhetstjänsten (FSB) som använder RTF-mallinjektionsdokument i attacker, som imiterade det ukrainska försvarsministeriet.
Medan bara en handfull APT-grupper har försökt att distribuera RTF-baserade attacker hittills, varnar forskare för att teknikens effektivitet i kombination med dess användarvänlighet sannolikt kommer att driva dess antagande vidare över hotlandskapet – och detta kan innebära kampanjer som utnyttjar denna teknik antas av ekonomiskt motiverade cyberbrottslingar.
“Det enkla att använda vapen i den här tekniken kommer sannolikt också att attrahera skådespelare av låg kvalitet och låga sofistikerade aktörer, vilket utökar närvaron av denna teknik i det vilda, inklusive skådespelare av brottsartiklar,” sa DeGrippo.
MER OM CYBERSÄKERHET
Hacking och cyberspionage: Länderna som kommer att framstå som stora hot under 2020-taletDessa hackare byggde en utarbetad onlineprofil för att lura sina mål att ladda ner skadlig programvaraFöretag pratar inte om att vara offer för cyberattacker. Det måste ändrasHar vi nått toppen av ransomware? Hur internets största säkerhetsproblem har växt och vad som händer härnästCybersäkerhet: Denna produktiva hacker-för-hyra-operation har riktat sig mot tusentals offer runt om i världen Security TV | Datahantering | CXO | Datacenter