Inne i en cyber-leiesoldatoperasjon: Hacking-ofre over hele verden Se nå
Nasjonalstatsstøttede hackergrupper utnytter en enkel, men effektiv ny teknikk for å drive phishing-kampanjer for å spre skadelig programvare og stjele informasjon som er av interesse for myndighetene deres.
Skybersikkerhetsforskere ved Proofpoint sier at avanserte vedvarende trusselgrupper (APT) som jobber på vegne av russiske, kinesiske og indiske interesser, bruker malinjeksjoner i rikt tekstformat (RTF).
Selv om bruken av RTF-tekstfilvedlegg i phishing-e-poster ikke er ny, er teknikken som brukes av hackere enklere å implementere og mer effektiv fordi det er vanskeligere for antivirusprogramvare å oppdage – og mange organisasjoner vil ikke blokkere RTF-filer som standard fordi de er en del av den daglige forretningsdriften.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Teknikken er RTF-malinjeksjon. Ved å endre en RTF-fils dokumentformateringsegenskaper, er det mulig for angripere å bevæpne en RTF-fil for å hente eksternt innhold fra en URL kontrollert av angriperne, slik at de i hemmelighet kan hente en skadelig nyttelast som blir installert på offerets maskin.
Angripere kan bruke RTF-malinjeksjoner for å åpne dokumenter i Microsoft Word, som vil bruke den ondsinnede URL-en for å hente nyttelasten samtidig som de bruker Word til å vise lokkedokumentet.
Denne tilnærmingen kan kreve å lokke brukere til å aktivere redigering eller aktivere innhold for å starte prosessen med å laste ned nyttelasten, men med den riktige formen for sosial ingeniørkunst, spesielt på baksiden av et overbevisende lokkemiddel, kan et offer bli lurt til å la denne prosessen ta plass.
Det er ikke en kompleks teknikk, men fordi den er enkel og pålitelig å bruke, har den blitt populær med flere nasjonalstatlige hackingoperasjoner, som kan distribuere RTF-angrep i stedet for andre, mer komplekse angrep, men får fortsatt de samme resultatene.
Til tross for “Avansert” betegnelsen, hvis APT-aktører gjør jobben sin godt, vil de bruke minst mulig ressurser og sofistikering som er nødvendig for å få tilgang til organisasjoner, sa Sherrod DeGrippo, visepresident for trusselforskning og deteksjon hos Proofpoint.
“Dette forhindrer aktører i å avsløre mer sofistikerte verktøy hvis de oppdages, noe som resulterer i en større driftsforstyrrelse for trusselaktørgrupper å erstatte tekniske evner når de oppdages,” la hun til.
Ifølge forskere var det tidligste kjente tilfellet av en APT-gruppe som brukte RTF-malinjeksjoner i en kampanje i februar 2021. Disse injeksjonene ble utført av DoNot Team, en APT-gruppe som har vært knyttet til indiske statsinteresser.
Siden den gang har flere andre statlige hackingoperasjoner også blitt sett på å distribuere RTF-injeksjoner som en del av kampanjer. Disse inkluderer en gruppe Proofpoint refererer til som TA423, også kjent som Leviathan, som er en ATP-gruppe som er knyttet til Kina, som har brukt RTF-angrep i flere kampanjer siden april.
SE: Dark web crooks underviser nå i kurs om hvordan man bygger botnett
En av disse kampanjene fant sted i september og målrettet enheter i Malaysia relatert til energiutforskningssektoren – og kom spesifikt med utviklet phishing-e-poster for å lokke mål til å utilsiktet kjøre nyttelasten.
Så i oktober oppdaget forskere Gamaredon – en støtende hackergruppe som har vært knyttet til den russiske føderale sikkerhetstjenesten (FSB) som bruker RTF-malinjeksjonsdokumenter i angrep, som utgir seg for å være det ukrainske forsvarsdepartementet.
Selv om bare en håndfull APT-grupper har forsøkt å distribuere RTF-baserte angrep så langt, advarer forskere om at teknikkens effektivitet kombinert med dens brukervennlighet sannsynligvis vil drive bruken videre over trussellandskapet – og dette kan bety at kampanjer som utnytter denne teknikken blir tatt i bruk av økonomisk motiverte nettkriminelle.
“Den enkle våpniseringen i denne teknikken vil sannsynligvis også tiltrekke lav-end og lav-sofistikerte skuespillere, og utvide tilstedeværelsen av denne teknikken i naturen, inkludert kriminalitetsaktører,” sa DeGrippo.
MER OM CYBERSIKKERHET
Hacking og nettspionasje: Landene som kommer til å dukke opp som store trusler på 2020-tallet Disse hackerne bygde en forseggjort nettprofil for å lure målene deres til å laste ned skadelig programvareBedrifter snakker ikke om å være ofre for nettangrep. Det må endresHar vi nådd toppen av løsepengevare? Hvordan internetts største sikkerhetsproblem har vokst og hva som skjer videreSybersikkerhet: Denne produktive hacker-til-leie-operasjonen har rettet seg mot tusenvis av ofre over hele verden Security TV | Databehandling | CXO | Datasentre