Afbeelding: ESET
Een cyber-spionage groep die bekend staat als “Machete” heeft waargenomen dat het stelen van gevoelige bestanden van het Venezolaanse leger, volgens een ESET-rapport dat vandaag is gepubliceerd.
De groep, waarvan bekend is actief sinds 2010, heeft in het verleden verdwenen na een brede waaier van doelstellingen van over de hele wereld. Echter, ESET zei dat vanaf dit jaar, Machete is in de eerste plaats gericht zijn het hacken van de inspanningen op Venezuela.
Tijdens een periode tussen Maart en Mei 2019, ESET zei het zag ten minste 50 geïnfecteerde computers contact opnemen met de Machete command-and-control (C&C) – servers.
Ongeveer 75% van deze infecties waren gelegen in Venezuela, en meer dan de helft van de geïnfecteerde computers behoorde tot het Venezolaanse leger.
“De aanvallers exfiltrate gespecialiseerd bestandstypen die worden gebruikt door geografische informatie systemen (GIS) software,” zei ESET security-onderzoeker Matias Porolli. “De groep is vooral geïnteresseerd in bestanden die beschrijven van routes en het positioneren van het gebruik van militair netten.”
Naast Venezuela, de Machete groep heeft ook gerichte naburige landen. ESET zei de Ecuadoriaanse leger heeft ook een doel zo goed.
Spear-phishing met radiograms
De groep tactiek niet eens zo origineel. Zij vertrouwen op de oude tactiek van het verzenden van spear-phishing e-mails met kwaadaardige bestanden als bijlagen.
Alle cyber-spionage groepen werken op deze wijze. De enige nieuwigheid hier is, volgens ESET, is dat Machete maakt gebruik van echte documenten die zijn gestolen uit eerdere aanvallen.
De groep heeft een voorliefde voor het gebruik van radiograms (röntgenfoto ‘ s), die specifiek zijn documenten die worden gebruikt voor de communicatie binnen de legers over de hele wereld.
De documenten, wanneer het wordt geopend, zal infecteren slachtoffers met de groep malware, een backdoor trojan. Per ESET, is de groep bezig met een nieuwe versie van de malware voor meer dan een jaar, verschillend van de vorige, gezien in vorige aanslagen, zoals gedocumenteerd door Kaspersky en Cylance in 2014 en 2017, respectievelijk.
“De malware beschreven door Kaspersky heeft veel overeenkomsten met wat we hebben gezien dit jaar,” een ESET-woordvoerder vertelde ZDNet in een e-mail van vorige week. “De malware die we beschrijven in onze krant is een nieuwe versie en we zijn er vrij zeker van zijn dat we niet praten over copycats hier – het is inderdaad dezelfde groep.”
“Vorige versies van Machete had vergelijkbare mogelijkheden voor het stelen van informatie en dergelijke infrastructuur, maar dat de verschillen in hoe de malware werd geleverd, in de code en ook in de doelen. Het lijkt erop dat de vorige versies van Machete waren niet zozeer gericht op latijns-Amerika als ze nu zijn,” ze toegevoegd.
Afbeelding: ESET
ESET onderzoekers zei Machete recente campagne is nog steeds actief om deze dag, en de hackers zijn zeer succesvol, exfiltrating gigabytes van vertrouwelijke bestanden elke week.
Onbekend of Machete is een door de staat gesponsord APT
Maar terwijl de groep liet een spoor van hacks over de hele wereld sinds 2010 de onderzoekers niet dichterbij te identificeren die achter de Machete groep.
In 2014, Kaspersky zei Machete leden lijken te zijn spaans-sprekende personen.
“De toekenning is gebaseerd op wat we daadwerkelijk kunnen observeren,” de ESET-team vertelde ZDNet. “Een aantal tips en artefacten die we zagen in de loop van ons onderzoek leiden tot ondersteuning van de claim dat dit een spaans-sprekende groep, zoals werd gezegd door andere onderzoekers in het verleden.”
Maar spaans-sprekende natie-staat hacker groepen niet eerder gezien. De meeste zijn cybercrime-focus.
“Helaas kunnen we niet weten of ze een staat gesponsorde groep of als ze een onafhankelijke groep met het verkopen van informatie aan de hoogste bieder,” ESET ons verteld.
Gerelateerde malware en cybercriminaliteit dekking:
De gouverneur van Louisiana verklaart staat noodgevallen na lokale ransomware outbreakDevelopment stopt op Empire kader na het project bereikt zijn goalMajor kaart schending alert in Zuid KoreaNew Windows malware stelt proxy ‘ s op uw PC te relais schadelijke trafficGermanWiper ransomware hits Duitsland hard, vernietigt bestanden, vraagt ransomNo Meer Losgeld project heeft verhinderd dat de ransomware winst van ten minste $108 millionMalware blijft hangen in het Mkb voor een gemiddelde van 800 dagen vóór de ontdekking TechRepublicONS burgemeesters lossen niet te betalen hackers over ransomware aanvallen CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters