Zero
Un recente scoperto e probabilmente statali hacking operazione di attaccare i governi e le organizzazioni militari, utilizzando strumenti disponibili pubblicamente per l’esecuzione di una mirata cyber-spionaggio campagna.
Soprannominato Gallmaker, il gruppo è stato attivo almeno dal dicembre 2017 e non fa uso di malware per ottenere l’accesso e il controllo di sistemi Windows; invece l’utilizzo di strumenti come Metasploit e PowerShell per ottenere l’accesso a informazioni in attacchi mirati.
Scoperto da ricercatori di Symantec, l’hacking campagna si dice che hanno preso di mira diverse ambasciate all’estero di un imprecisato paese dell’europa Orientale, in diverse regioni di tutto il mondo, così come una serie di militare e di difesa destinazioni in Medio Oriente, che non sembrano portare qualsiasi link specifici per l’obiettivo del governo.
Tuttavia, i ricercatori sono fiduciosi che gli obiettivi sono appositamente selezionato da quelli dietro la campagna, che porta il segno distintivo di perpetrati da parte di uno stato-backed gruppo-ma Symantec non essere disegnati su esattamente chi potrebbe essere dietro la campagna o l’esatta obiettivi degli attacchi, solo affermando che la campagna è un esperto di organizzazione.
Attacchi di iniziare con la spear-phishing e-mail utilizzato per la spedizione di documenti con nomi legati al governo, militari, diplomatiche o temi. I documenti sono descritti come “non molto sofisticati” e sono progettati per essere di interesse per gli obiettivi dell’Europa Orientale – e apparentemente di lavoro.
Questi programmi esche non contengono malware, ma piuttosto di sfruttare una vulnerabilità di Microsoft Office DDE (Dynamic Data Exchange), il protocollo, per ottenere l’accesso alle macchine. DDE è lì per condividere i dati tra le applicazioni di Office, ma i ricercatori hanno scoperto una vulnerabilità nel meccanismo dello scorso anno.
Microsoft inizialmente ha sottolineato la capacità di una funzione, non una vulnerabilità, prima di rilasciare un aggiornamento per garantire il DDE è disattivata per impostazione predefinita in Word e Excel.
Dopo un richiamo documento è aperto, l’utente è invitato a abilita ‘protetto’ content – un’azione che permette il protocollo DDE e consente agli aggressori di eseguire in remoto i comandi sul sistema.
Vedi anche: che Cosa è il phishing? Tutto quello che devi sapere per proteggersi da una e-mail truffa e più
Gallmaker è in grado di condurre campagne di spionaggio senza malware utilizzando una varietà di strumenti e di attività, che sono legittimamente disponibili sul web o incorporati nei processi di sistema di computer Windows.
Per esempio, il ‘WindowsRoamingToolsTask’ viene utilizzato per pianificare gli script di PowerShell e attività, mentre gli aggressori utilizzano le funzioni di Metasploit penetrazione di strumenti software per offuscare shellcode che viene eseguita utilizzando PowerShell.
Gli attaccanti di utilizzare un legittimo versione di WinZip per eseguire comandi e comunicare con i server di comando e controllo – è probabile che questo è anche utilizzato per archiviare dati per le finalità di rubare i file e altri dati.
Il Gallmaker gruppo è stato anche osservato utilizzando l’pubblicamente disponibili Rex PowerShell libreria per creare e modificare gli script di PowerShell per l’utilizzo con Metasploit exploit.
I ricercatori di notare che quando Gallmaker attacchi sono stati osservati, non c’è evidenza di strumenti vengano eliminati dalla vittima macchine una volta che la campagna è finita, al fine di rafforzare la sicurezza operativa e nascondere le tracce di attività.
Vedi anche: Gratuito, facile da usare, e a disposizione di chiunque: Il potente malware nascosti in bella vista sul web aperto
Questo tentativo di coprire le loro tracce, e il modo in cui gli attaccanti vivono fuori della terra ” indica che Gallmaker è molto preoccupata di non essere scoperto e, probabilmente realizzato da un esperto gruppo con esperienza di spionaggio.
“Gli strumenti utilizzati da Gallmaker sono pubblicamente disponibili e possono essere utilizzati per scopi legittimi. Il fatto che essi possono, per motivi legittimi, di essere su un dispositivo significa che la loro presenza non necessariamente destare sospetto, di conseguenza, il loro appello per gli hacker, in” Dick O’Brien, minaccia ricercatore presso Symantec detto a ZDNet.
“Il gruppo è disciplinato e cerca di mantenere una buona sicurezza operativa. Perché si può montare ogni fase di un attacco senza ricorrere a un malware, punti per un gruppo che sono più competenti e qualificati di più gruppi di spionaggio”, ha aggiunto.
I ricercatori non sono in grado di determinare se le campagne Gallmaker sono riusciti a rubare i dati dal target, ma hanno identificato 20 diversi attacchi che hanno avuto luogo tra dicembre e giugno – quasi la metà di questi si è verificato nel mese di aprile.
Un elemento di raccordo tra tutti gli obiettivi della campagna è che non hanno installato la patch che disabilita DDE per impostazione predefinita, è probabile che chi sta dietro a Gallmaker sono opportunisti e sperando che la patch non è stato distribuito, piuttosto che in modo esplicito, sapendo che per essere il caso.
Le più recenti attività del gruppo nel mese di giugno, ma che non significa necessariamente che Gallmaker ha cessato le operazioni, come altre campagne hanno dimostrato che gli aggressori possono rimanere dormienti per mesi, anche anni, prima di riprendere l’attività.
Può essere difficile per le organizzazioni a proteggere se stessi da vivere fuori della terra tattiche – il modo in cui gli strumenti in grado di nascondersi in piena vista è ciò che li rende popolare per i cyber criminali operazioni – ma ci sono un certo numero di cose che potete fare per ridurre al minimo il rischio.
Questo include l’applicazione di aggiornamenti di sicurezza e patch nuove vulnerabilità di venire alla luce, per garantire che i dati sensibili sono criptati per ridurre l’impatto della perdita di dati, e di educare i dipendenti circa i rischi di apertura e-mail e documenti da fonti sconosciute, dove possibile.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
NOI spese militari russi funzionari internazionale di hacking e campagne di disinformazionein Cina, la campagna di spionaggio obiettivi satellitare, imprese di difesa [CNET]avviso di Phishing: Uno ogni cento messaggi di posta elettronica è ora un tentativo di attaccodi Phishing, gli attacchi colpiscono i servizi finanziari, aziende di tecnologia più difficile: Come stare al sicuro [TechRepublic]di Spionaggio malware spioni per le password, le miniere di bitcoin sul lato
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0