< p class="meta"> Door Charlie Osborne voor Zero Day | 30 september 2021 | Onderwerp: Beveiliging
Een recent onderzoek naar de manier waarop Pegasus-spyware wordt gebruikt om burgerrechtenorganisaties, journalisten en overheidsfunctionarissen over de hele wereld te controleren, wordt misbruikt in een nieuwe golf van cyberaanvallen.
Pegasus is een bewakingssysteem aangeboden door de NSO Groep. Hoewel geadverteerd als software voor de bestrijding van misdaad en terrorisme, leidde een onderzoek naar de spyware tot beschuldigingen dat het wordt gebruikt tegen onschuldigen, waaronder mensenrechtenactivisten, politieke activisten, advocaten, journalisten en politici over de hele wereld.
De in Israël gevestigde NSO Group ontkende de bevindingen van het onderzoek, uitgevoerd door Amnesty International, Forbidden Stories en tal van media.
Apple heeft sindsdien een door Pegasus gebruikte zero-day kwetsbaarheid gepatcht, een ontdekking die samen met Citizen Lab is gedaan.
Nu proberen cybercriminelen die geen banden hebben met Pegasus te profiteren van het vernietigende rapport door individuen een manier te beloven om zichzelf te 'beschermen' tegen dergelijke surveillance, maar in plaats daarvan zetten ze in plaats daarvan in het geheim hun eigen merk malware in.
Donderdag zeiden onderzoekers van Cisco Talos dat bedreigingsactoren zich voordoen als Amnesty International en een nepdomein hebben opgezet dat is ontworpen om de legitieme website van de organisatie na te bootsen.
Dit verwijst naar een 'antivirus'-tool, 'AVPegasus', die belooft pc's te beschermen tegen spyware.
Cisco Talos
Volgens Talos-onderzoekers Vitor Ventura en Arnaud Zobec bevat de software echter de Sarwent Remote Access Trojan (RAT).
De domeinen die aan de campagne zijn gekoppeld, zijn amnestyinternationalantipegasus[.]com, amnestyvspegasus[.]com en antipegasusamnesty[.]com.
Geschreven in Delphi, installeert Sarwent een achterdeur op machines wanneer het wordt uitgevoerd en kan het ook gebruikmaken van een remote desktop protocol (RDP) om verbinding te maken met een door een aanvaller bestuurde command-and-control (C2) server.
De malware zal proberen inloggegevens te exfiltreren en is ook in staat om verdere kwaadaardige payloads te downloaden en uit te voeren.
Het VK, de VS, Rusland, India, Oekraïne, Tsjechië, Roemenië en Colombia zijn tot nu toe de meest getargete landen. Talos gelooft dat de cyberaanvaller achter deze campagne een Russische spreker is die in 2021 andere op Sarwent gebaseerde aanvallen heeft uitgevoerd.
“De campagne richt zich op mensen die misschien bang zijn dat ze het doelwit zijn van de Pegasus-spyware”, zegt Talos. “Deze targeting roept vragen op over mogelijke betrokkenheid van de staat, maar er is onvoldoende informatie beschikbaar voor Talos om daar een besluit te nemen. Het is mogelijk dat dit gewoon een financieel gemotiveerde actor is die de krantenkoppen wil gebruiken om nieuwe toegang te krijgen.”
Eerdere en gerelateerde berichtgeving
Pegasus-spyware van NSO Group gebruikt tegen journalisten, politieke activisten over de hele wereld
WhatsApp-chef zegt overheidsfunctionarissen, Amerikaanse bondgenoten doelwit van Pegasus-spyware
FBI start onderzoek naar Pegasus-spyware verkoper over hacks van Amerikaanse burgers
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 