Noll
Video: Ransomware med hjälp av trojanska trick för att expandera hot
En tidigare okänd intrång och spionage verksamhet med hjälp av skadlig kod för att infiltrera regeringar i ett försök att stjäla känsliga uppgifter i en rad mycket riktade attacker.
Dubbade Sowbug, gruppen bakom attackerna är tydligen fokuserade på utländska politiska institutioner och diplomatiska mål i Sydamerika och Sydostasien och är tänkt att har varit aktiv sedan åtminstone början av 2015.
En låg profil, under-the-radar verksamheten har bidragit drift undvika upptäckt, även när det genomförs kampanjer som förblev oupptäckt av regeringar för upp till sex månader.
Regeringarna i Brasilien, Argentina, Peru, Ecuador, Malaysia och Brunei har alla fallit offer för Sowbug kampanjen, som har varit närmare av forskare på Symantec.
Koncernen använder Felismus, en bakdörr trojan, i alla sina attacker. Malware uppmärksammades först i Mars och bland annat gör det möjligt för angripare att utföra spionage, nyckel-loggning, trafikanalys, ytterligare malware distribution, förmåga att undgå upptäckt och mer.
Gruppen bakom attackerna beskrivs som goda resurser och som kan infiltrera flera mål samtidigt via kampanjer som verkar utanför arbetstid riktade organisationer i syfte att säkerställa attacker hålla en låg profil.
Medan det är okänt var i världen Sowbug är baserade på, eller som de i slutändan är — eller arbetar på uppdrag av — det är möjligt att det skulle kunna vara en stat-stödda verksamheten.
“De bär några kännetecken för en grupp potentiellt backas upp av en nation-state — skadlig kod som används i dessa attacker verkar vara sofistikerad. Koncernen kommer sannolikt att vara väl dimensionerad, som har gjort det möjligt att förbli under radarn, och stjäla information från dessa utrikespolitik och diplomatiska mål sedan början av 2015,” Alan Neville, hot forskare på Symantec, berättade ZDNet.
Analys av äventyras offer har ljus lyste på Sowbug s verksamhet, liksom ledtrådar till koncernens potentiella motiv-som verkar vara baserad runt stöld av specifik information.
Se även: Cyberkrig: En guide till den skrämmande framtiden för online-konflikten
En attack mot ett Syd-Amerikansk ud – daterad ha ägt rum i Maj 2015 – verkade särskilt fokus på den avdelning som ansvarar för relationerna med Asien-Stillahavsområdet. Attacken resulterade i att alla Word-dokument Kan ändras efter 11 lagras i målet är fil server som extraheras.
Angriparna återvände senare för att extrahera alla dokument som ändras från och med den 7 Maj 2015. Ytterligare attacker fortsatte – med fler och fler dokument tas bort och utbyggnad av två okända nyttolaster till den infekterade server – för ytterligare fyra månader, innan de som står bakom kampanjen torkas sin närvaro från servern i September 2015.
En metod angripare använder för att upprätthålla en långsiktig närvaro på infekterade nätverk är genom att dölja det skadliga filer som ofta används programvara som Windows eller Adobe Reader. Den skadliga verktyg får filnamn som liknar de som används av seriösa program och gömd i katalogen träd, som tillåter dem att finnas kvar utan uppstår misstanke.
Den smygande karaktär Sowbug verksamheten och dess Felismus distribution kampanj: det är fortfarande inte känt hur angriparna ursprungligen infiltrera ett mål nätverk.
I vissa fall, finns inga spår av hur Felismus gjort sin väg in infekterade datorerna och pekar på möjligheten att det var utplacerade från en redan äventyras systemet på nätet. I andra fall, det finns vissa belägg för att Felismus är installerad med hjälp av en skadliga program loader som kallas Starloader, men det är okänt hur Starloader sig invaderar en dator.
En teori är att Starloader används som falska programuppdateringar, som forskare funnit bevis för Starloader filer AdobeUpdate.exe, AcrobatUpdate.exe och INTELUPDATE.EXE bland andra.
Sowbug fungerar också som en påminnelse om att oavsett om målet är i världen, de kan bli offer för it-attacker och spionage.
“Medan vi är inte i ett läge där ingen region är orörd av it-spionage, det var tidigare ovanligt att se länder i Sydamerika riktad till grupper som Sowbug”, säger Neville.
Felismus förvärvade dess namn på sin första upptäckten i Mars på grund av en hänvisning till Tom & Jerry i sin enda läsbara krypteringsnyckel – Felis är Latin för “katt” och Mus är Latin för “mus”.
Felismus malware har fått sitt namn från hänvisningar till en katt och mus i koden.
Bild: iStock
Tidigare och relaterade täckning
Vad är nätfiske?
Allt du behöver veta för att skydda dig från bedrägeri post och mycket mer
DET ledande guide till hotet om cyberwarfare [Tech Pro Forskning]
Som vi blir alltmer beroende av digital infrastruktur, möjligheten av en förlamande cyberattack fortsätter att montera. Kommunikation och banksystem, kraftnät och fabriker-allt inför en ökad risk för angrepp.
It-relaterad brottslighet Inc: Hur hacking gäng modellering sig på stora företag
Franchisetagare, återförsäljare, kundservice, verktyg för samarbete och utbildning — professionell hacka organisationer arbetar nu som alla andra företag.
Läs mer om it-relaterad brottslighet
Hackare använder hotel Wi-Fi för att spionera på gäster, stjäla dataChinese hacka gruppen tillbaka med en ny taktik för spionage kampanj Hackare få tillgång till hundratals globala elektriska system [MAG]CIA-verktyg som är utsatta av Wikileaks kopplade till dataintrång i 16 countriesThe ny art of war: Hur troll, hackare och spioner skriva regler konflikt [TechRepublic]
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0