Nul
Onderzoekers hebben ontdekt dat de Octopus een Trojaans paard in een golf van cyberaanvallen worden gelanceerd tegen diplomatieke entiteiten in centraal-Azië.
Volgens cybersecurity bedrijf Kaspersky Lab, de gerichte campagne heeft gemaakt van het recente verbod van Telegram messenger over Rusland en de gerapporteerde pogingen tot het verbieden van de service over een aantal voormalige Sovjet-gebieden, zoals Kazachstan naar dupe slachtoffers te laten geloven dat ze zijn het downloaden van een toegankelijk, legitieme versie van de echte communicatie service.
De kwaadaardige lading eruit ziet als de legitieme Telegram messenger-app, maar in plaats daarvan biedt een ras-kanaal voor aanvallers te kapen slachtoffer Pc ‘ s.
CNET: Chinese trojan gedetecteerd verspreid via nep-basisstations
Kaspersky Lab is van mening dat de nieuwe campagne hebben de links naar de russisch-sprekende bedreiging groep DustSquad, die is actief in heel centraal-Azië sinds 2014.
DustSquad is bijgehouden in aanvallen tegen het privé-gebruikers en diplomatieke organisaties en heeft zich ontwikkeld aangepaste Android-en Windows-malware voor deze aanvallen in het verleden.
“We hebben veel gezien van de dreigingen targeting diplomatieke entiteiten in centraal-Azië in 2018,” zei Denis Legezo, security researcher van Kaspersky Lab. “DustSquad is werkzaam in de regio voor een aantal jaren en kon de groep achter deze nieuwe bedreiging. Blijkbaar is de interesse in deze regio’ s cyber zaken is gestaag aan het groeien.”
DustSquad is ongebruikelijk in de programmering keuze voor de Octopus Trojan; gebruik te maken van Delphi en third-party libraries zoals de Indy Project voor JSON-gebaseerde command-and-control (C2) – server communicatie en TurboPower Abbrevia voor compressie mogelijkheden.
De Octopus Trojan is verpakt in een archief genaamd DVK — “Democratische Keuze van Kazachstan” — en is vermomd als een variant van een Telegram messenger gebouwd voor de kazachse oppositie partijen in Kazachstan. Geen software daadwerkelijk bestaat.
Het land dreigde te verbieden Telegram in April, tenzij het bedrijf overeengekomen om te verwijderen alle content geproduceerd in het platform door het DVK.
De dreiging acteurs achter de kwaadaardige app vermomming de Trojan de launcher met een erkend symbool van de politieke partij. Eenmaal geactiveerd, Octopus is in staat om taken uit te voeren met inbegrip van diefstal van gegevens en het wissen, schakelt u de achterdeur toegang tot, en de uitvoering van het toezicht.
Echter, er lijkt weinig inspanning toegepast om te voorkomen dat vermoeden wordt gewekt door de kwaadaardige software als de ontwikkelaars hebben niet een echte mailing of functies van communicatie.
Een dergelijk toezicht zou waarschijnlijk sprake van een rode vlag en alert slachtoffers, maar Kaspersky denkt dat dit gebrek aan finesse kan het gevolg zijn van de malware zich “in een haast.”
TechRepublic: Evrial Trojan kan stelen wat is opgeslagen op uw Windows-Klembord, met inbegrip van Bitcoins
Persistentie wordt bereikt door het systeem register op een simpele manier, en server-side, commerciële hosting .PHP scripts en hardcoded IP-adressen worden gebruikt, eerder dan iets meer geavanceerde, zoals bulletproof hosting.
De onderzoekers zijn niet zeker hoe dit malware verspreidt zich, maar gezien het feit dat de kwaadaardige software is gericht op de specifieke politieke en diplomatieke organisaties, is het waarschijnlijk dat social engineering speelt een grote rol in de werking.
Zie ook: Adwind Trojan omzeilt antivirus-software op uw PC te infecteren
“Uit onze ervaring kunnen we zeggen dat de interesse van bedreiging actoren in deze regio is het nu de hoogste, en de traditionele ‘spelers’ zijn verbonden door relatieve nieuwkomers zoals DustSquad die zijn opgegroeid in lokaal” Kaspersky Lab zegt. “Het is interessant dat zagen we dat sommige slachtoffers die ‘dreiging magneten’ gericht door alle van hen.”
Vorige en aanverwante dekking
Panda Banker Trojan wordt een deel van Emotet bedreiging distributie platform Banking malware vindt nieuw leven met de verspreiding van de gegevens-het stelen van trojaanse paard Trojan malware campagne breidt uit met aanvallen tegen nieuwe banken
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0