Forskere afdækker langsigtet cyber-spionage-kapacitet

Sikkerhedsforskere har for nylig afsløret oplysninger om en langsigtet cyberspionagekampagne rettet mod virksomheder inden for brændselsindustrien over hele verden. Kampagnen var fokuseret på langvarig afsløring af afsløring og plantning af fjernadgangstrojans på offernetværkene med det formål at vedvarende dataeksfiltrering og spionage.

Forskere med sikkerhedsfirmaet Intezer afslørede, at dårlige skuespillere havde brugt snævert målrettede spear-phishing-e-mail-kampagner, der bærer fjernadgang trojanske nyttelast som ondsindede vedhæftede filer. Rækken af RAT-malware, der blev brugt i kampagnen, varierede meget og inkluderer berygtede navne som Agent Tesla, Loki og AZORult. Disse værktøjer har evnen til både at stjæle følsomme oplysninger og browser-login, men også til at logge tastetryk.

Kampagnen er næsten udelukkende fokuseret på olie- og gasselskaber, men der er et par målrettede outliers, der er inden for it- og mediesektoren. Mærkeligt nok er størstedelen af de målrettede virksomheder placeret i Sydkorea med andre mål placeret over hele kloden, herunder Europa og USA samt De Forenede Arabiske Emirater.

Forskere bemærkede også, at et af målene i den ondsindede kampagne var markant forskellig fra resten. Den ulige en hedder FEBC og er en radioudsendelsesenhed beliggende i Sydkorea, som ifølge forskerne på Intezer søger at "undergrave religionens forbud" i landets nordnabo.

Spear-phishing-e-mails bruger falske afsenderfelter og får dem til at se ud som om de virkelig stammer fra adresser og virksomheder, der er velkendte for ofrene. Nogle af e-mails brugte typografisk domæner - et domæne, der har et enkelt tegn, der er forskelligt fra det legitime, for eksempel en prik erstattet med en bindestreg eller en "L" byttet med en 1.

Kroppen af de ondsindede e-mails indeholder normalt, hvad der ligner et legitimt forretningstilbud. Nyttelastene er indeholdt i falske PDF-filer, der virkelig er .cab-arkiver eller .iso-billeder. Intezer påpegede også, at nyttelasten implementeres ved hjælp af fileløse teknikker, der distribueres direkte i systemhukommelsen uden at efterlade nogen filer på harddisken, der kan udløse potentielle forsvar.

Intezer påpegede også, at e-mails var særligt veludførte med hensyn til formatering, og der er lagt stor vægt på at få dem til at ligne legitim forretningskorrespondance. Der er mange små detaljer i teksten i disse e-mails, der indikerer, at truslen skuespilleren bag dette ikke er amatør og har en meget god forståelse af, hvordan legitim, højt profileret forretningskorrespondance ser ud.