Hacker russi passaggio di informazioni-sforzi di raccolta
I ricercatori FireEye dire Cremlino, sottoposti a operazioni di hacking sta tentando di indirizzare i governi, i media e i partiti politici come approssimarsi delle elezioni.
Un nuovo attacco mirato weaponizing TeamViewer è stato scoperto che si concentra sulla rubare informazioni finanziarie appartenenti a organizzazioni governative e gli obiettivi finanziari di tutta Europa e oltre.
I ricercatori dal Check Point ha detto lunedi che la campagna è specificatamente destinate a funzionari del governo di finanza di capacità e di rappresentanti dell’ambasciata in Europa, accanto Nepal, Kenya, Liberia, Libano, Guyana, e Bermuda.
Il vettore d’infezione inizia con un tipico phishing e-mail contenente un allegato dannoso sostenendo di essere un “Top Secret” documento degli Stati Uniti.
L’e-mail inviata ai potenziali vittime contiene la riga dell’oggetto Militare “Programma di Finanziamento”.XLSM documento allegato al messaggio è stato predisposto con un logo dal Dipartimento di Stato americano, nel tentativo di apparire legittimo.
×
screenshot-2019-04-23-a-12-33-35.png
Se una destinazione di download e si apre l’allegato, si chiede di attivare le macro — un comune metodo utilizzato dagli hacker per ottenere l’accesso a una vittima del sistema. Dovrebbero fare così, due file vengono estratti — legittimo AutoHotkeyU32.exe il programma dannoso TeamViewer DLL.
Il AutoHotkeyU32 programma viene utilizzato per inviare una richiesta POST di un utente malintenzionato di comando e controllo (C2) del server, così come scaricare script AHK in grado di prendere uno screenshot del PC di destinazione e rubare le informazioni del computer che viene poi inviato alla C2.
Vedi anche: la sicurezza Online 101: Come proteggere la tua privacy da parte di hacker, spie, e il governo
TeamViewer è un software legittimo spesso utilizzato in azienda per mantenere l’accesso remoto al Pc e condividere i desktop. Tuttavia, data la sua abilità, il software è anche, purtroppo, utilizzato da entrambi cyberattackers e truffatori per ottenere l’accesso fraudolento ai sistemi.
In questo caso, il software è stato un’arma. I maligni variante viene eseguita tramite DLL a caricamento laterale e contiene modificato funzionalità come: nascondere le TeamViewer interfaccia, quindi, le vittime non sanno che il software è in esecuzione, la possibilità di salvare la sessione di TeamViewer credenziali di un file di testo e di trasferimento e l’esecuzione di ulteriori .EXE e .File DLL.
Questo apre la vittima sistemi per il furto di dati, la sorveglianza, e, potenzialmente, il compromesso di conti online. Come tutti gli enti governativi mirati erano spesso basati in finanza, questo suggerisce la minaccia attori sono finanziariamente piuttosto che potenzialmente politicamente motivato.
CNET: CIA riferito dice Huawei finanziato da stato Cinese la sicurezza
La campagna principali obiettivi sono pubblici settore finanziario giocatori e il regime è stato legato al passato di attacchi crede di essere opera della stessa minaccia di gruppo.
Tutti gli esempi implementato un trojan versione di TeamViewer, ma l’attacco iniziale vettoriale è cambiato. Nel 2018, per esempio, archivi autoestraenti sono stati utilizzati anziché AutoHotKey abilitato documenti dannosi. Esca immagini, compreso il contenuto che è stato rubato dal Kazakistan Ministero degli Affari Esteri e adattato, erano in uso. La prova dalle campagne del passato suggerisce anche che i russofoni sono stati presi di mira.
Inoltre, il malware TeamViewer DLL è stato adattato nel corso del tempo, il passaggio da informazioni di base del furto il più moderno C2 infrastrutture.
TechRepublic: I 5 più violato le password
I ricercatori dicono che c’è la prova della minaccia attore dietro la campagna russa, grazie per il link di un avatar collegato a un russo metropolitana utente del forum conosciuto come EvaPiks.
Si ritiene che la minaccia attore è, almeno, lo sviluppatore di strumenti utilizzati per la campagna e la storia di un hacker in questione punti per la metropolitana di cardatura — la valorizzazione e lo scambio di furto di informazioni finanziarie, come i dati della carta di credito.
Secondo il Dipartimento di Giustizia (DoJ), la cardatura è evoluta negli ultimi anni (.PDF) per agevolare non solo la frode finanziaria, ma anche per finanziare il terrorismo e il traffico di droga.
Precedente e relativa copertura
Negozi Online per i governi e le multinazionali hacked via nuova falla di sicurezza
Il gruppo di Hacker è stato il dirottamento del traffico DNS sul router D-Link per tre mesi
Governo svizzero invita gli hacker di pen-test di voto elettronico sistema
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati