Tyrėjai atskleidė ilgalaikį kibernetinio šnipinėjimo „Capmaign“

Saugumo tyrėjai neseniai atskleidė informaciją apie ilgalaikę kibernetinio šnipinėjimo kampaniją, skirtą viso pasaulio kuro pramonės įmonėms. Kampanija buvo sutelkta į ilgalaikio vengimo aptikimą ir nuotolinės prieigos Trojos arklys pasodinimą į aukų tinklus, siekiant ilgalaikio duomenų pašalinimo ir šnipinėjimo.

Tyrėjai iš saugos firmos „Intezer“ atskleidė, kad blogi veikėjai naudojo siaurai nukreiptas elektroninio pašto sukčiavimo el. Paštu kampanijas, kuriose nuotolinės prieigos Trojos arklys yra kenksmingas priedas. Kampanijoje naudojamų RAT kenkėjiškų programų asortimentas labai skyrėsi ir apima tokius liūdnai pagarsėjusius pavadinimus kaip „Agent Tesla“, „Loki“ ir „AZORult“. Šie įrankiai turi galimybę pavogti neskelbtiną informaciją ir naršyklės prisijungimus, taip pat registruoti klavišų paspaudimus.

Kampanija beveik visiškai skirta naftos ir dujų bendrovėms, tačiau yra keletas tikslinių pašalinių, kurie yra IT ir žiniasklaidos sektoriuose. Įdomu tai, kad dauguma tikslinių bendrovių yra Pietų Korėjoje, o kiti tikslai yra visame pasaulyje, įskaitant Europą ir JAV, taip pat Jungtinius Arabų Emyratus.

Tyrėjai taip pat pažymėjo, kad vienas iš kenkėjiškos kampanijos taikinių labai skyrėsi nuo kitų. Nelyginis vienas vadinamas FEBC ir yra radijo transliavimo subjektas, įsikūręs Pietų Korėjoje, kuris, pasak „Intezer“ tyrėjų, siekia „panaikinti religijos draudimą“ šalies šiaurinėje kaimynėje.

Elektroniniuose el. Pašto adresuose, kuriuose sukčiaujama, naudojami apgaulingi siuntėjų laukai ir jie atrodo taip, kad jie iš tikrųjų atsirado iš adresų ir įmonių, kurie būtų gerai žinomi aukoms. Kai kuriuose el. Laiškuose buvo naudojami spausdintiniai domenai - domenas, kurio vienas simbolis skiriasi nuo teisėto, pvz., Taškas pakeistas brūkšniu arba „L“, pakeistas 1.

Kenkėjiškų el. Laiškų tekste paprastai yra teisėtas verslo pasiūlymas. Naudingosios apkrovos yra padirbtuose PDF failuose, kurie iš tikrųjų yra .cab archyvai arba .iso vaizdai. „Intezer“ taip pat atkreipė dėmesį į tai, kad naudingoji apkrova yra dislokuojama naudojant „fileless“ metodus, tiesiogiai ją diegiant į sistemos atmintį, kietajame diske nepaliekant jokių failų, kurie gali užkirsti kelią galimai apsaugai.

„Intezer“ taip pat atkreipė dėmesį į tai, kad el. Laiškai buvo ypač gerai formatuojami ir buvo labai rūpinamasi, kad jie atrodytų kaip teisėtas verslo susirašinėjimas. Šių el. Laiškų tekste yra daugybė smulkių detalių, nurodančių, kad grėsmė nėra jokia mėgėja, ir puikiai supranta, kaip atrodo teisėtas, aukšto lygio verslo susirašinėjimas.