Nul
ESET onderzoekers het bijhouden van een beruchte achterdeur en cyberespionage campagne hebben gewaarschuwd dat de lijst van de overheid slachtoffers is veel langer dan gedacht — en ten minste twee nieuwe Europese kantoren zijn bezweken.
De backdoor is het werk van een advanced persistent threat (APT) groep die bekend staat als Turla. Turla eerder is gekoppeld aan het Gezer malware-familie die is gebruikt tegen diverse door de overheid en diplomatieke instanties in Europa.
Gezer was verbonden aan de drinkplaats-aanvallen en spear-phishing campagnes gericht op de overheid entiteiten en diplomaten voor het doel van cyberespionage.
In 2017, Turla was ook verbonden aan een backdoor geïmplanteerd in de duitse Federale ministerie van Buitenlandse zaken, waar het werd gebruikt om de sifon van vertrouwelijke overheidsinformatie over de meerderheid van het jaar.
Turla wordt verondersteld afkomstig te zijn van Rusland en is actief sinds 2008. Nu, het lijkt erop dat de APT is het opvoeren van de inspanningen en heeft leveraged dezelfde achterdeur tegen de buitenlandse kantoren van twee andere Europese landen.
Daarnaast is een naamloos major defense opdrachtnemer heeft ook een slachtoffer van de bedreiging actoren.
De backdoor gebruikt in deze campagnes werd opgericht in 2009 en sindsdien heeft ondergaan een aantal ingrijpende veranderingen. Sluipend, in staat om detectie te voorkomen gedurende lange perioden van tijd, en onlangs een upgrade uitvoeren schadelijke PowerShell scripts rechtstreeks in het geheugen van de computer, de malware heeft verdiend nu een “zeldzame mate van stealth en veerkracht,” volgens ESET.
Turla de malware, die een Dynamic Link Library (DLL) module, onderhoudt persistentie door te knoeien met het Windows-register. In een techniek die bekend staat als “COM-object kaping,” de achterdeur zal automatisch herstarten wanneer Microsoft Outlook wordt geopend.
De malware heeft onlangs de beoogde gebruikers van Microsoft Outlook. Echter, de software zelf is niet gebruikt als een aanval; integendeel, de malware probeert te ondermijnen Microsoft Outlook legitieme Messaging Application Programming Interface (MAPI) om te infiltreren slachtoffer postvakken in.
Zie ook: Wapens zijn al op de BRITSE straten. 3D printen kan veel erger.
Een interessant element van deze backdoor is hoe Turla kiest om het te controleren. De meerderheid van de malware maakt gebruik van de command-and-control (C&C) centra commando ‘ s, maar in dit geval gemaakt .PDF-bestanden verzonden naar besmette e-mail inboxen stuurt de operationele commando ‘ s.
Wanneer een slachtoffer ontvangt een e-mail, de malware genereert een logboek bevat informatie over het bericht, zoals de afzender, de geadresseerde, het onderwerp en de namen van bijlagen. Deze gegevens worden vervolgens regelmatig gebundeld en verstuurd naar de Turla APT via een .PDF-document.
Echter, de dreiging van de groep is voorzichtig om alleen het verzenden van deze e-mails tijdens standaard kantooruren om te voorkomen dat argwaan te wekken. Alle e-mailberichten worden ook geblokkeerd.
TechRepublic: Top 5: Risico ‘ s van encryptie backdoors
“De gecompromitteerde machine kan worden belast tot het verrichten van een reeks van commando’ s,” ESET onderzoekers gezegd. “Belangrijker nog, deze zijn heimelijke gegevensverplaatsing, evenals het downloaden van extra bestanden en het uitvoeren van aanvullende programma ‘s en commando’ s. Heimelijke gegevensverplaatsing zelf vindt ook plaats via .PDF-bestanden.”
De backdoor is wat de onderzoekers noemen “operator-agnost’, wat betekent dat de kwaadaardige code accepteert opdrachten van iedereen in staat om ze te coderen in een verhaal .PDF.
Dit kan een techniek die gebruikt wordt om te voorkomen dat de ineenstorting van malware-activiteiten in gevallen waarin kwaadaardige C&C-centra zijn in beslag genomen door cybersecurity teams of handhaving van de wet.
CNET: Congres introduceert het wetsvoorstel te blokkeren regering encryptie backdoors
Turla is de enige groep die bekend zijn bij de onderzoekers die gebruik maken van e-mail-basis commando systemen en de zaak blijkt hoe innovatieve APT groepen kunnen worden als waardevolle politieke informatie is voor het grijpen.
ZDNet heeft bereikt ESET met extra query ‘ s en werken als we horen terug.
Vorige en aanverwante dekking
Mexicanen geserveerd met Donkere Tequila in spyware spree Hacker heeft de gegevens van 20.000 Superdrug klanten om losgeld Adobe releases uit van planning tot uitvoering van externe code fix
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0