Inde i en cyberlejesoldatsoperation: Hacking ofre over hele verden Se nu
Nationalstatsstøttede hackergrupper udnytter en enkel, men effektiv ny teknik til at drive phishing-kampagner til at sprede malware og stjæle information, der er af interesse for deres regeringer.
Forskere inden for cybersikkerhed hos Proofpoint siger, at avancerede grupper med vedvarende trusler (APT), der arbejder på vegne af russiske, kinesiske og indiske interesser, bruger skabelonindsprøjtninger i rigt tekstformat (RTF).
Selvom brugen af RTF-tekstfilvedhæftede filer i phishing-e-mails ikke er ny, er teknikken, der bruges af hackere, lettere at implementere og mere effektiv, fordi det er sværere for antivirussoftware at opdage – og mange organisationer vil ikke blokere RTF-filer som standard, fordi de er en del af den daglige forretningsdrift.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Teknikken er RTF skabeloninjektion. Ved at ændre en RTF-fils dokumentformateringsegenskaber er det muligt for angribere at våbengøre en RTF-fil for at hente fjernindhold fra en URL, der kontrolleres af angriberne, hvilket gør dem i stand til i hemmelighed at hente en malware-nyttelast, der bliver installeret på ofrets maskine.
Angribere kan bruge RTF-skabeloninjektioner til at åbne dokumenter i Microsoft Word, som vil bruge den ondsindede URL til at hente nyttelasten, mens de også bruger Word til at vise lokkedokumentet.
Denne tilgang kan kræve, at brugere lokkes til at aktivere redigering eller aktivere indhold for at begynde processen med at downloade nyttelasten, men med den rigtige form for social engineering, især på baggrund af et overbevisende lokkemiddel, kan et offer blive narret til at tillade denne proces at tage placere.
Det er ikke en kompleks teknik, men fordi den er enkel og pålidelig at bruge, er den blevet populær med flere nationalstats hacking-operationer, som kan implementere RTF-angreb i stedet for andre, mere komplekse angreb, men får stadig de samme resultater.
På trods af den “avancerede” betegnelse, hvis APT-aktører gør deres arbejde godt, vil de bruge den mindste mængde ressourcer og sofistikering, der er nødvendig for at få adgang til organisationer, sagde Sherrod DeGrippo, vicepræsident for trusselsforskning og -detektion hos Proofpoint.
“Dette forhindrer aktører i at afsløre mere sofistikerede værktøjer, hvis de opdages, hvilket resulterer i en større driftsforstyrrelse for trusselsaktørgrupper til at erstatte tekniske kapaciteter, når de opdages,” tilføjede hun.
Ifølge forskere var det tidligste kendte tilfælde af en APT-gruppe, der brugte RTF-skabelonindsprøjtninger i en kampagne, i februar 2021. Disse injektioner blev foretaget af DoNot Team, en APT-gruppe, der har været knyttet til indiske statsinteresser.
Siden da er adskillige andre statsforbundne hackingoperationer også blevet set implementere RTF-injektioner som en del af kampagner. Disse omfatter en gruppe Proofpoint refererer til som TA423, også kendt som Leviathan, som er en ATP-gruppe, der er knyttet til Kina, som har brugt RTF-angreb i flere kampagner siden april.
SE: Dark web-skurke underviser nu i kurser i, hvordan man bygger botnets
En af disse kampagner fandt sted i september og målrettede enheder i Malaysia relateret til energiudforskningssektoren – og kom specifikt med designet phishing-e-mails for at lokke mål til utilsigtet at udføre nyttelasten.
Så i oktober opdagede forskere Gamaredon – en offensiv hackergruppe, der er blevet knyttet til den russiske føderale sikkerhedstjeneste (FSB), der bruger RTF-skabelonindsprøjtningsdokumenter i angreb, som efterlignede det ukrainske forsvarsministerium.
Mens kun en håndfuld APT-grupper har forsøgt at implementere RTF-baserede angreb hidtil, advarer forskere om, at teknikkens effektivitet kombineret med dens brugervenlighed sandsynligvis vil drive dens indførelse videre på tværs af trusselslandskabet – og dette kan betyde, at kampagner, der udnytter denne teknik, bliver vedtaget af økonomisk motiverede cyberkriminelle.
“Den lette våbenløsning i denne teknik vil sandsynligvis også tiltrække low-end og lav-sofistikerede skuespillere, hvilket vil udvide tilstedeværelsen af denne teknik i naturen, herunder kriminalitetsskuespillere,” sagde DeGrippo.
MERE OM CYBERSIKKERHED
Hacking og cyberspionage: De lande, der vil fremstå som store trusler i 2020'erne Disse hackere byggede en omfattende onlineprofil for at narre deres mål til at downloade malwareVirksomheder taler ikke om at være ofre for cyberangreb. Det skal ændresHar vi nået toppen af ransomware? Hvordan internettets største sikkerhedsproblem er vokset, og hvad sker der derefterCybersikkerhed: Denne produktive hacker-til-udlejning-operation har rettet sig mod tusindvis af ofre rundt om i verden Security TV | Datastyring | CXO | Datacentre