Onderzoekers hebben ontdekt een nieuwe cyberespionage campagne die is gericht op pro-Tibetaanse individuen om aan het verspreiden van het ExileRAT Trojan.
Op maandag, onderzoekers van Cisco Talos zei dat de nieuwe campagne levert een kwaadaardige Microsoft PowerPoint-document met de Remote Access Trojan (RAT) die in staat van het stelen van systeem-en persoonlijke informatie, te beëindigen of de lancering van processen, het toezicht en de diefstal van bestanden.
De malware wordt verspreid via een “Tibetaans Nieuws” mailing lijst die behoren tot de Centrale Tibetaanse Administratie (CTA), een organisatie die als vertegenwoordiger van de Tibetaanse regering-in-ballingschap.
Zie ook: NanoCore Trojan is beschermd in het geheugen worden gedood uit
De lijst wordt gebruikt om contact met supporters en wordt geëxploiteerd door India op basis van DearMail. Talos zegt dat de aanvallers waren in staat om te wijzigen van de standaard Reply-to-header, zodat de reacties zou worden terug gestuurd naar een e-mailadres dat beheerd wordt door de oplichters.
De kwaadaardige e-mail verwijst naar de komende 60ste verjaardag van de Dalai Lama in ballingschap en het wordt geloofd dat elke abonnee heeft ontvangen van de phishing-bericht.
Ontvangers van verzonden e-mails via de gerichte phishing-regeling worden gepresenteerd .PPSX bestand dat wordt geladen met een exploit voor CVE-2017-0199, een willekeurige code beveiligingsprobleem in Microsoft Office die gepatched in 2017.
CNET: Apple slaat de russische gebruikers’ gegevens op de russische servers, rapport zegt
De PowerPoint-document is een kopie van de legitieme “Tibet-was-nooit-een-deel-van-China” presentatie die werd gepubliceerd in November 2018 door de CTA.
Cisco Talos
Het .PPSX bestand bevat een druppelaar die trekt de Trojaanse van de command-and-control (C20-server voor de uitvoering op een kwetsbaar systeem.
Interessant is dat Talos gevonden dat de C2 verbonden aan deze campagne is ook gekoppeld aan de LuckyCat Android – en Windows-gebaseerde Trojaanse paarden in het verleden.
LuckyCat is vermoedelijk het werk van pro-Chinese dreiging actoren in de uitoefening van informatie die behoren tot de Tibetaanse activisten. Een IP-adres is aangesloten op LuckyCat is ook gekoppeld aan een Mac-Trojan gespot in het wild in 2012.
TechRepublic: 3 manieren statelijke actoren doelgroep bedrijven in de cyber-oorlogvoering, en hoe om jezelf te beschermen
“Gezien de aard van deze malware en de doelen, het is waarschijnlijk ontworpen voor spionage-doeleinden in plaats van financieel gewin,” Talos zegt. “Dit is slechts een onderdeel van een aanhoudende trend van de natie-staat acteurs werken om te spioneren op de burgerbevolking voor politieke redenen.”
In November van hetzelfde team van onderzoekers gepubliceerd van een onderzoek naar de perzische Stalker, een potentieel gesponsord door de staat dreiging groep die is gericht op de Iraanse gebruikers van een Telegram, een app verboden in het land. Phishing vindt plaats naast de overname van het Border Gateway Protocol (BGP) voor het omleiden van internetverkeer, een aanval die de gemiddelde gebruiker kan zich niet verdedigen tegen.
Vorige en aanverwante dekking
DarkHydrus misbruik van Google Drive te verspreiden RogueRobin Trojan
Deze Trojan aanval voegt een backdoor op uw Windows-PC om gegevens te stelen
Deze oude trojan leert nieuwe trucs in zijn laatste banking info en wachtwoord stelen campagne
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters