Nul
In wat lijkt te zijn een van de eerste op de cyber-spionage-scène, een natie-staat-backed hacken van de groep heeft een Google Chrome extensie om te infecteren slachtoffers en het stelen van wachtwoorden en cookies van hun browsers.
Dit is de eerste keer dat een APT (Advanced Persistent Threat –een industrie termijn voor de natie-staat hacking groepen) heeft gezien (ab)met behulp van een Chrome-extensie, zij het niet de eerste keer is een browser extensie, zoals de russisch-gekoppeld Turla APT eerder een Firefox add-on in 2015 [1, 2].
Volgens een rapport dat zal worden gepubliceerd later vandaag door de ASERT team op Netscout onthult de details van een spear-phishing-campagne die is het duwen van een kwaadaardige Chrome-extensie ten minste sinds Mei 2018.
Hackers gebruikt spear-phishing e-mails om slachtoffers te lokken op websites gekopieerd van legitieme academische organisaties. Deze phishing sites, nu naar beneden, bleek een goedaardige PDF-document, maar voorkomen gebruikers in het bekijken van het doorverwijzen van slachtoffers naar de officiële Chrome Web Store pagina om het installeren van een (nu verwijderd) Chrome-extensie met de naam Auto-Font Manager.
Afbeelding: De Heer J0hn D0ughNetscout onderzoekers zeggen dat de uitbreiding had de mogelijkheid om te stelen zowel cookies van de site en wachtwoorden, maar ze hebben ook gezien doorsturen van e-mail op een aantal gecompromitteerde accounts.
Spreekt ZDNet, Netscout onderzoekers zeiden dat de spear-phishing campagnes met behulp van deze Chrome-extensie gericht op de academische sector, maar wilde niet te geven de namen van de slachtoffers nog niet.
“We hebben geïdentificeerd drie universiteiten in de Verenigde Staten en een non-profit instelling in Azië [dat] we zijn er zeker van te zijn gericht,” de onderzoekers vertelden ons.
“Een groot aantal van de slachtoffers, over meerdere universiteiten, had deskundigheid op het gebied van biomedische engineering, eventueel suggereren een motivatie voor de aanvallers’ targeting,” de onderzoekers apart toegevoegd, in hun rapport.
Maar tijdens het kijken naar deze recente aanvallen, onderzoekers ontdekten ook dat het dezelfde infrastructuur die gehost deze phishing-sites had ook al eerder is gebruikt in een andere hacken campagne die wordt gebruikt op te breken in universiteiten’ netwerken via Verbindingen met een Extern Bureaublad (RDP) – verbindingen.
Netscout vertelde ZDNet dat “de twee afzonderlijke draden van de activiteit hebben een gedeelde infrastructuur en overlappende slachtoffers, maar het is onduidelijk wat was er het eerst.”
De onderzoekers ook dat de mensen achter deze recente campagne, die Netscout genoemd Gestolen Potlood, zijn erg slordig als het ging om het verbergen van hun sporen. Onderzoekers zeiden dat ze vonden bewijs dat suggereert dat de groep kan gevestigd zijn in Noord-Korea.
“Arme OPSEC geleid tot de gebruikers vinden van open web browsers in het koreaans, engels-koreaanse vertalers open en toetsenborden overgestapt naar de koreaanse taal instellingen” onderzoekers gezegd.
Maar terwijl Netscout onderzoekers niet wilt koppelen deze campagne op een specifieke Noord-koreaanse APT (Advanced Persistent Threat –een industrie termijn voor de natie-staat hacking groepen), meerdere bronnen in de industrie aan wie ZDNet toonde de Chrome-extensie bestands-hashes van gisteren werden we gewezen op een cyber-spionage-groep bekend als Kimsuky (ook bekend als Fluweel Chollima).
Een 2013 Kaspersky Lab rapport gepresenteerde bewijs dat de groep Noord-koreaanse regime. Hetzelfde rapport ook een overzicht van de Kimsuky de neiging om te gaan na academische doelen, dezelfde die gericht met deze meest recente campagne.
Voor wat de hackers waren na, Netscout onderzoekers vertelde ZDNet dat ze hebben “gezien geen bewijs van diefstal van gegevens, maar zoals inbraak, kunnen we niet volledig korting van de mogelijkheid. Geen van de tools en commando ‘ s waren specifiek gericht op het stelen van informatie – zij waren gericht op de identificatie diefstal en handhaven van toegang.”
Universiteiten hebben altijd al een aantrekkelijk doelwit voor de natie-staat, hackers, vooral die op zoek zijn naar vertrouwelijke informatie of uitgebrachte onderzoek. Terwijl zowel de Chinese en Rusland staat hackers zijn bekend om te gaan na de academische sector op een regelmatige basis, Iraanse hackers zijn de meest actieve van het bos.
Eerder dit jaar in Maart, de VS aangeklaagd 10 Iraniërs voor hacks tegen 320 universiteiten in 22 landen, 144 in de verenigde staten. Sommige van de onderzoeksresultaten de hackers gestolen uiteindelijk werden online gepubliceerd op pay-for-toegang portals bediend door een aantal van de aangeklaagde hackers, die blijkbaar een manier gevonden om het genereren van winst kant van hun dag-tot-dag gesponsord door de staat hacken campagnes. De aanklachten niet stoppen Iraanse hackers van hun aanvallen, dat wel.
Meer zekerheid:
Tsjechische Republiek beschuldigt Rusland voor meerdere regering netwerk hacks
Oekraïense politie arresteert hacker die besmet zijn meer dan 2.000 gebruikers met DarkComet RATNieuwe industriële spionage campagne maakt gebruik van AutoCAD gebaseerde malwareDe CoAP protocol is het volgende grote ding voor DDoS-aanvallenAtlanta ransomware aanvallen op ‘mission critical’ systemen CNETFBI ontmantelt gigantische ad fraude regeling die over meer dan een miljoen IPsHackers zijn het openen van SMB-poorten op routers, zodat ze kunnen infecteren van Pc ‘ s met NSA, malware,trojaanse paarden, niet ransomware, zijn de grootste bedreiging nu TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0