Nul
En cyber-spionage-gruppen er implementering af en ny type malware, trojanske mod telekommunikation, informationsteknologi, og offentlige organisationer.
Døbt Seedworm, gruppen har været i drift siden mindst 2017, og selv om det overvejende ser ud til at infiltrere organisationer i Mellemøsten, organisationer baseret i Europa og Nordamerika har også været mål.
Hacking drift-også kendt som MuddyWater-har været meget aktive i de seneste måneder og forskere på Symantec siger, spionage kampagne har stjålet oplysninger fra mere end 130 ofre på tværs af de 30 organisationer, der siden September i år. Angrebene synes at være fokuseret på at stjæle adgangskoder, især til web-konti, såvel som intern kommunikation data og andre oplysninger.
Seedworm ‘ s seneste kampagne blev afsløret, efter at forskere fundet beviser for aktivitet på en computer i Brasilien-baseret ambassade af, hvad Symantec refererer til som “en olieproducerende nation”.
Ambassaden computer også var blevet kompromitteret af russiske hacking gruppe APT28 — aka FancyBear — men der er intet, der tyder på hacking grupper var klar af hinanden.
Men på grund af, hvad forskere beskriver som “en præference for hastighed og smidighed over den operationelle sikkerhed”, det var muligt at spore Seedworm aktivitet, afslører, hvad angriberne tog, når de kom ind i netværket, og hvordan de gjorde det.
Da gruppen til at agere, Seedworm har ansat en brugerdefineret bagdør kaldet Powermud, som har været opdateret i et forsøg på at undgå afsløring.
Spear-phishing er det vigtigste middel til at levere malware, der når det er installeret på en target-systemet først kører værktøjer designet til at stjæle adgangskoder, der er gemt i brugerens web-browsere og e-mail. Seedworm derefter bruger open source-værktøjer, såsom LaZagne og Crackmapexec at få Windows-godkendelse af legitimationsoplysninger og til at bevæge sig på tværs af netværket.
SE: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Men takket være fattige operationelle sikkerhed af angriberne, forskere har opdaget en ny variant af Powermud bagdør — Powemuddy — som gør det muligt yderligere aktivitet og har hjulpet Seedworm til succes kompromis 30 organisationer, der i løbet af et par måneder.
I alt 131 personer blev anset for at være inficeret med Seedworm malware med den højeste koncentration i Mellemøsten-dog multinationale organisationer med interesser i området, men der opererer i Europa og Nordamerika blev også konstateret, at der har været indbrud. Det er meget sandsynligt, at angriberne er planlagt til at gå på kompromis specifikke mål.
“Organisationer med mere end tre eller fire ofre næsten helt sikkert var associeret med Seedworm aktører specifikt og var ikke tilfældig kompromiser. Organisationer med flere ofre sandsynligvis haft flere medarbejdere, der sendes spear phishing e-mails,” Jonathan Wrolstad, trussel forsker ved Symantec fortalte ZDNet.
Men, for at hjælpe med at fremskynde den kampagne, Seedworm tog til opbevaring af scripts i en GitHub repository. Mens dette gjorde gruppen til at fremskynde deres arbejde, det er sket på bekostning af den operationelle sikkerhed og tillod forskerne at afdække aktivitet.
“Vi tror, Seedworm skuespillere bruge GitHub som en notesblok til at gemme deres scripts for nem adgang. Dette viser, hvordan værdien af hastighed og smidighed over sikkerheden af deres operationer. Der er intet i de scripts, der er indlysende, viser, at de scripts, der bliver brugt for ondsindet aktivitet. De scripts, der er magen til dem, at en rød team kan også bruge,” sagde Wrolstad.
Ikke desto mindre, på trods af at efterlade et spor af aktivitet, Seedworm bør stadig blive klassificeret som en dygtig cyber spionage gruppe med fokus på high-værdi mål.
Symantec har meddelt, at organisationer om Seedworm ‘ s seneste mål og teknikker, og har leveret en liste over Indikatorer for Kompromis.
LÆS MERE OM IT-KRIMINALITET
Disse hackere bruger Android overvågning af malware til at målrette modstandere af den Syriske regeringKina-baseret spionage kampagne mål satellit, forsvar virksomheder CNETNye state-backed spionage kampagne er målrettet mod militær og regering ved hjælp af frit tilgængelige hacking værktøjerCyberweapons er nu i spil: Fra OS sabotage af en nordkoreansk missil test for at hacket nødsituation sirener i Dallas TechRepublicGratis, let at bruge, og tilgængelige for alle: Det magtfulde malware gemmer sig i et almindeligt syn på det åbne web
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0