Nul
Video: High-end hotel van gegevens dieven terug naar target ambtenaren
Een Chinese hacken werking is terug met nieuwe malware-aanval technieken en is overgestapt zijn focus op het voeren van spionage op de westerse bedrijven, die daarvoor gerichte organisaties en individuen in Taiwan, Tibet, en de Filippijnen.
Nagesynchroniseerde KeyBoy, de advanced persistent threat acteur is uit China sinds ten minste 2013 en heeft in die tijd vooral gericht zijn campagnes tegen doelen in Zuid-Oost-Azië.
De laatste publiekelijk bekend is actief door KeyBoy zag het doel van het Tibetaanse Parlement tussen augustus en oktober 2016, volgens de onderzoekers, maar na dat de groep bleek te staken activiteit — of in ieder geval in geslaagd om uit de radar.
Maar nu heeft de groep reemerged en is gericht op westerse organisaties met malware die hen in staat stelt om in het geheim uitvoeren van kwaadaardige activiteiten op geïnfecteerde computers. Ze zijn het nemen van screenshots, key-logging, browsen en het downloaden van bestanden, verzamelen uitgebreide systeem informatie over de machine, en het afsluiten van de geïnfecteerde computer.
KeyBoy de laatste activiteit is blootgelegd door security analisten van PwC, die hebben een analyse gemaakt van de nieuwe lading en vond het bevat nieuwe infectie technieken vervangen van legitieme Windows-bestanden een kopie van de malware.
Als soortgelijke spionage campagnes door andere hacking-activiteiten, de campagne begint met e-mails met een kwaadaardig document – in het geval geanalyseerd door PwC, de verleiding was een Microsoft Word-document met de naam ‘Q4 Werk Plan.docx’.
Maar in plaats van het leveren van een macro of een exploit, de verleiding maakt gebruik van de Dynamic Data Exchange (DDE) protocol voor het ophalen en downloaden van een externe lading. Microsoft heeft eerder beschreven DDE als een functie, niet een fout.
Zie ook: Cyberwar: Een gids voor de angstaanjagende toekomst van online conflict
In dit geval Word de gebruiker vertelt er is een fout geweest en het document moet bijwerken – als u deze instructie wordt uitgevoerd, een externe nep-DLL lading wordt uitgevoerd, die op zijn beurt serveert een druppelaar voor de malware.
Wanneer het proces eenmaal is uitgevoerd en de malware wordt geïnstalleerd, de eerste DLL-bestand is verwijderd, waardoor er geen spoor van de kwaadaardige nep. Als de malware ook schakelt de Windows bestandsbeveiliging en bijbehorende pop-ups, daarom is het niet meteen duidelijk voor systeem beheerders die een legitieme DLL vervangen.
Eenmaal binnen het target-systeem, de aanvallers zijn gratis uit te voeren spionage campagnes zoals u ze – hoewel PwC-onderzoekers hebben een lijst van mogelijke indicatoren van het compromis die organisaties kunnen gebruiken om te ontdekken of er sporen van KeyBoy in het netwerk.
Een soortgelijke technieken en aanval mogelijkheden zijn waargenomen in de afgelopen KeyBoy campagnes, toonaangevende onderzoekers tot de conclusie dat deze campagne is door dezelfde groep.
Onderzoekers hebben nog te ontdekken welke specifieke organisaties of sectoren KeyBoy is het richten met de nieuwste campagne, maar zeggen dat de groep heeft zich nu toegelegd op het uitvoeren van bedrijfsspionage op organisaties in het westen.
Afgezien van de wetenschap dat ze zijn gebaseerd in China, het is nog niet mogelijk geweest om te achterhalen KeyBoy hacker groep te identificeren of hun achterliggende motieven. Hoewel het heeft een aantal van de kenmerken van een state-back-operatie, vorige onderzoek in de groep zegt dat elk type van criminele bende zou kunnen gebruiken deze stijl van de campagne.
De bedrijfsspionage campagne is nu gericht op organisaties in het westen, waarschuwen onderzoekers.
Beeld: iStock
Vorige en aanverwante dekking
Hackers richten de onderzoekers van de veiligheid met malware geïnfecteerde document
State-back-hackers proberen te leveren malware voor mensen die geïnteresseerd zijn in cybersecurity, het gebruik van schadelijke documenten over een echte conferentie als een lokmiddel.
Nieuwe code-injectie methode beschrijft alle versies van Windows om cyberaanval
Tot overmaat van ramp is er geen correctie.
Security awareness en training beleid [Tech Pro Onderzoek]
Dit beleid is ontworpen om te helpen uw IT-medewerkers begeleiden de medewerkers in de richting van het begrijpen en naleven van de beste security practices die relevant zijn voor hun taken en verantwoordelijkheden.
LEES MEER OVER CYBER CRIME
In het grijze gebied tussen spionage en cyberwar Yahoo ‘ s enorme hack de schuld op russische spionnen [CNET]Mysterieuze cyber spionage campagne maakt gebruik van de ‘torpedo’ lokken om u te verleiden tot het downloaden van malware Geavanceerde Chinese hacken campagne infiltreert IT service providers over de globeReport: Cyberespionage nu de meest populaire vorm van cybercriminaliteit in vele industrieën [TechRepublic]
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0