Noll
En nyligen upptäckta och sannolikt statligt stöd hacka drift attackerar regeringar och militära organisationer, med hjälp av allmänt tillgängliga verktyg för att genomföra en riktad it-spionage kampanj.
Dubbade Gallmaker, gruppen har varit aktiv sedan åtminstone December 2017 och inte använda skadlig kod för att få tillgång till och kontroll Windows-system, utan att använda verktyg som Metasploit och PowerShell för att få tillgång till information i riktade attacker.
Upptäcktes av forskare på Symantec, hacking kampanjen sägs ha riktat flera utländska ambassader av en ospecificerad Östeuropeiska landet i olika regioner runt om i världen, såväl som en serie av militära och försvarspolitiska mål i Mellanöstern som inte visas att utföra någon specifik koppling till regeringens mål.
Men forskarna är övertygade om att mål är specifikt utvalda av de som står bakom kampanjen, som bär kännetecken av begås av ett statligt stödda gruppen-men Symantec inte skulle dras på exakt vem som kunde ligga bakom den kampanj eller den exakta målen för attackerna, bara om att kampanjen är en mycket kunnig organisation.
Attacker börjar med spear-phishing e-postmeddelanden som används för att leverera dokument med namn relaterade till statliga, militära eller diplomatiska teman. De handlingar som beskrivs som “inte mycket sofistikerade” och är utformade för att vara av intresse att målen i Östra Europa – och är till synes fungerar.
Dessa skadliga lockar inte innehåller skadlig kod, utan snarare se till att utnyttja ett säkerhetshål i Microsoft Office-DDE (Dynamic Data Exchange) protokoll, för att få tillgång till maskiner. DDE är där för att dela data mellan Office-program, men forskare har upptäckt en säkerhetslucka i den mekanism som förra året.
Microsoft inledningsvis pekat på den möjlighet som en funktion, inte en sårbarhet, innan de senare släppa en uppdatering för att säkerställa DDE är inaktiverat som standard i Word och Excel.
Efter ett lockbete dokumentet öppnas, användaren uppmanas att aktivera ‘skyddade’ content – en åtgärd som gör det möjligt för DDE-protokollet och gör det möjligt för angripare att köra distans kommandon på systemet.
Se även: Vad är nätfiske? Allt du behöver veta för att skydda dig från bedrägeri post och mycket mer
Gallmaker är att kunna bedriva spionage kampanjer utan att skadlig kod genom att använda en mängd olika verktyg och uppgifter, som är legitimt tillgängliga på webben eller bäddas in i systemet processer av Windows-maskiner.
Till exempel “WindowsRoamingToolsTask’ används för att schemalägga PowerShell-skript och uppgifter, medan angriparna använder funktioner i Metasploit anal programvara verktygslåda för att fördunkla shellcode som är utförda med hjälp av PowerShell.
Angriparna använda en legitim version av WinZip för att utföra kommandon och kommunicera med sina befäl och kontroll av server – är det troligt att detta också används för att lagra uppgifter för det ändamål för att stjäla filer och andra data.
Den Gallmaker gruppen har också observerats med hjälp av den allmänt tillgängliga Rex PowerShell-bibliotek för att skapa och manipulera PowerShell-skript för att använda med Metasploit utnyttjar.
Forskarna notera att när Gallmaker attacker har observerats, att det finns belägg för verktyg för att tas bort från offer-maskiner när en kampanj är klar, i syfte att stärka driftsäkerheten och dölja spår av aktivitet.
Se även: Gratis, lätt att använda och tillgänglig för alla: Den kraftfulla skadlig kod gömd i vanlig syn på den öppna webben
Detta försök att dölja sina spår och det sätt på vilket attacker “leva på landet” visar att Gallmaker är angelägen om att inte bli upptäckt – och sannolikt har gjorts av en kunnig grupp med erfarenhet av spionage.
“Verktyg som används av Gallmaker är tillgängliga för allmänheten och kan användas för lagliga ändamål. Det faktum att de kan ha legitima skäl att vara på en enhet innebär att deras närvaro inte nödvändigtvis väcka misstankar, därav deras vädjan till anfallare,” Dick O ‘ Brien, hot forskare på Symantec berättade ZDNet.
“Gruppen är disciplinerad och försöker att upprätthålla en god driftsäkerhet. Eftersom de kan montera varje skede av en attack utan att ta till skadlig kod, detta tyder på att en grupp som är mer kunnig och erfaren än de flesta spionage grupper,” tillade han.
Forskarna inte kan avgöra om kampanjer genom att Gallmaker har varit framgångsrika i att stjäla data från mål, men har identifierat 20 separata attacker som ägde rum mellan December och juni – nästan hälften av dessa inträffade i April.
Ett element som binder samman alla de mål för kampanjen är att de inte har installerat patchen som inaktiverar DDE som standard – det är troligt att de som står bakom Gallmaker är att vara opportunistiska och hoppas att plåstret inte har tagits i bruk, i stället uttryckligen att veta att så skulle vara fallet.
Den senaste aktiviteten av gruppen var i juni, men det behöver inte nödvändigtvis betyda att Gallmaker har upphört med verksamheten som andra kampanjer har visat att angripare kan förbli vilande i flera månader, även år vid en tidpunkt innan du återupptar verksamheten.
Det kan vara svårt för organisationer att skydda sig själva från att leva ut marken taktik – det sätt som verktyg kan gömma sig i vanlig syn är det som gör dem populära för cyber kriminella verksamheten – men det finns ett antal saker som kan göras för att minimera risken.
I detta ingår att tillämpa uppdateringar och patchar som nya sårbarheter kommer till ljuset, för att säkerställa att känslig data är krypterade för att minska effekterna av informationsläckage, och utbilda medarbetarna om riskerna med att öppna e-post och dokument från okända källor där så är möjligt.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
OSS avgifter ryska officerare över internationell hacka och desinformation kampanjerKina-baserade spionage kampanj mål satellit -, försvars-företag [MAG]Phishing varning: En i varje hundra e-post är nu ett försök att hackaPhishing-attacker träffar finansiella tjänster, tech-företag som är hårdast: Hur för att vara säker [TechRepublic]Spionage malware snoops för lösenord, gruvor bitcoin på sidan
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0