Nul
Een cyber spionage groep is het implementeren van een nieuw type trojan malware tegen de telecommunicatie -, informatie-technologie, de overheid en de organisaties.
Nagesynchroniseerde Seedworm, de groep is actief sinds minstens 2017, en hoewel het voornamelijk lijkt te infiltreren in organisaties in het Midden-Oosten, organisaties die zijn gevestigd in Europa en Noord-Amerika zijn ook doelen.
Het hacken van de werking-ook bekend als MuddyWater — is zeer actief in de afgelopen maanden en onderzoekers van Symantec zeggen dat de spionage campagne heeft gestolen informatie van meer dan 130 slachtoffers in 30 organisaties sinds September van dit jaar. De aanvallen lijken te zijn gericht op het stelen van wachtwoorden, vooral voor de web-accounts, alsook de interne communicatie van gegevens en andere informatie.
Seedworm de laatste campagne werd ontdekt nadat de onderzoekers ontdekten bewijs van activiteiten op een computer in de braziliaanse ambassade van wat Symantec verwijst als “een olie-producerende natie”.
De ambassade computer had ook aangetast door de russische hacken van de groep APT28 — aka FancyBear — maar er is geen bewijs om te suggereren dat het hacken van de groepen op de hoogte waren van elkaar.
Echter, als gevolg van wat de onderzoekers beschrijven als “een voorkeur voor snelheid en behendigheid over operationele veiligheid”, was het mogelijk om te traceren Seedworm de activiteit, het onthullen van wat de aanvallers nam zodra ze in het netwerk en hoe ze het deden.
Aangezien de groep begonnen met de exploitatie, Seedworm heeft gebruik gemaakt van een aangepaste backdoor genoemd Powermud, die is voortdurend in een poging om detectie te voorkomen.
Spear-phishing is het belangrijkste middel van het leveren van de malware, die, eenmaal geïnstalleerd op een target-systeem de eerste keer wordt uitgevoerd tools ontworpen voor het stelen van wachtwoorden die zijn opgeslagen in de user ‘ s web browsers en e-mail. Seedworm vervolgens maakt gebruik van open-source tools zoals LaZagne en Crackmapexec verkrijgen van Windows verificatiereferenties en te bewegen over het netwerk.
ZIE: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
Maar dankzij de slechte operationele veiligheid door de aanvallers, hebben de onderzoekers ontdekt een nieuwe variant van de Powermud achterdeur — Powemuddy — die het mogelijk maakt extra activiteit, en het heeft geholpen Seedworm succesvol compromis 30 organisaties in de ruimte van een paar maanden.
In totaal zijn 131 mensen werden besmet blijken te zijn met Seedworm malware, met de hoogste concentratie in het Midden-Oosten — echter multinationale organisaties met belangen in het gebied, maar in Europa en Noord-Amerika werden ook gevonden te hebben gecompromitteerd. Het is zeer waarschijnlijk dat de aanvallers gepland om compromissen te sluiten en specifieke doelstellingen.
“De organisaties met meer dan drie of vier slachtoffers vrijwel zeker waren het doelwit van de Seedworm actoren specifiek en niet per ongeluk compromissen. De organisaties met meerdere slachtoffers had waarschijnlijk meerdere werknemers die spear phishing e-mails, Jonathan Wrolstad, bedreiging, onderzoeker bij Symantec vertelde ZDNet.
Echter, om te helpen de snelheid van de campagne, Seedworm nam het opslaan van scripts in een GitHub repository. Terwijl dit stelde de groep in staat om de snelheid van hun activiteiten, het ging ten koste van de operationele veiligheid en onderzoekers toegestaan om te ontdekken van de activiteit.
“We denken dat de Seedworm actoren GitHub als een kladblok op te slaan hun script voor een gemakkelijke toegang. Dit toont aan hoe ze waarde hechten aan snelheid en wendbaarheid over de beveiliging van hun activiteiten. Er is niets in de scripts die duidelijk laat zien dat de scripts worden gebruikt voor kwaadaardige activiteiten. De scripts zijn vergelijkbaar met die in een rode team kan ook gebruik maken van,” zei Wrolstad.
Toch, ondanks het verlaten van een spoor van activiteit, Seedworm moet nog steeds worden aangemerkt als een geschoolde cyber spionage groep gericht op high-value targets.
Symantec heeft aangemelde organisaties over Seedworm de nieuwste doelen en technieken en heeft een lijst van Indicatoren van het Compromis.
LEES MEER OVER CYBER CRIME
Deze hackers zijn het gebruik van Android toezicht malware te richten tegenstanders van de Syrische regeringvan China op basis van spionage campagne satelliet, de verdediging van bedrijven CNETNieuwe state-back-spionage campagne in het leger en de overheid het gebruik van vrij verkrijgbare hacking-toolsCyberweapons zijn nu in het spel: Van ONS sabotage van een Noord-koreaanse raket test om gehackte nood sirenes in Dallas TechRepublicGratis, makkelijk te gebruiken, en voor iedereen beschikbaar: De krachtige malware te verbergen in het zicht op het open web
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0