A kutatók felfedezik a hosszú távú kiber-kémkedés Capmaign-ját

A biztonsági kutatók a közelmúltban hoztak nyilvánosságra egy hosszú távú kiberkémkedési kampányt, amely az üzemanyag-ipari vállalatokat célozza meg szerte a világon. A kampány a hosszú távú felderítés elkerülésére és a távoli hozzáférésű trójaiak telepítésére irányult az áldozati hálózatokon, tartós adatszűrés és kémkedés céljából.

Az Intezer biztonsági cég kutatói elárulták, hogy a rossz szereplők szűken célzott lándzsás adathalász e-mail kampányokat használtak, amelyek távoli hozzáférésű trójai hasznos terheket hordoznak rosszindulatú mellékletként. A kampányban használt RAT rosszindulatú programok köre nagyban változott, és olyan hírhedt neveket tartalmaz, mint például a Tesla ügynök, a Loki és az AZORult. Ezek az eszközök képesek érzékeny információk és böngésző bejelentkezések ellopására, de a billentyűleütések naplózására is.

A kampány szinte teljes egészében az olaj- és gázipari vállalatokra összpontosul, de van néhány megcélzott kiugró ember, akik az informatikai és a médiaszektorban vannak. Érdekesség, hogy a megcélzott vállalatok többsége Dél-Koreában található, más célpontok pedig az egész világon találhatók, beleértve Európát és az Egyesült Államokat, valamint az Egyesült Arab Emírségeket.

A kutatók azt is megjegyezték, hogy a rosszindulatú kampány egyik célpontja jelentősen különbözött a többitől. A furcsa nevet FEBC-nek hívják, és Dél-Koreában található rádiós műsorszóró szervezet, amely az Intezer kutatói szerint az ország északi szomszédjában igyekszik "felforgatni a vallási tilalmat".

A lándzsás adathalász e-mailek hamisított küldőmezőket használnak, és úgy festenek, mintha valóban olyan címekről és cégekről származnának, amelyek jól ismertek az áldozatok számára. Az e-mailek egy része elgépelt domaineket használt - egy olyan tartományt, amelynek egyetlen karaktere különbözik a legitimétől, például egy kötőjellel helyettesített pont vagy egy 1-el kicserélt "L".

A rosszindulatú e-mailek törzse általában törvényes üzleti ajánlatnak tűnik. A hasznos terheket hamis PDF fájlok tartalmazzák, amelyek valóban .cab archívumok vagy .iso képek. Az Intezer arra is felhívta a figyelmet, hogy a hasznos teher fájl nélküli technikák alkalmazásával kerül telepítésre, közvetlenül a rendszer memóriájába telepítve anélkül, hogy a merevlemezen olyan fájlok lennének, amelyek felboríthatják a potenciális védelmet.

Az Intezer rámutatott arra is, hogy az e-mailek formázása szempontjából különösen jól sikerültek, és nagy gondot fordítottak arra, hogy törvényes üzleti levelezésnek tűnjenek. Az e-mailek szövegében sok apró részlet található, amelyek jelzik, hogy a fenyegetés tényezője nem amatőr, és nagyon jól átlátja, hogy néz ki a törvényes, nagy horderejű üzleti levelezés.