Forskere avdekker langsiktig cyber-spionasje capmaign

Sikkerhetsforskere har nylig avduket informasjon om en langsiktig cyber-spionasjekampanje rettet mot selskaper i drivstoffindustrien over hele verden. Kampanjen var fokusert på å unngå langsiktig deteksjon og plante trojanere med fjerntilgang på offernettverkene med det formål å varig dataeksfiltrering og spionasje.

Forskere med sikkerhetsfirmaet Intezer avslørte at dårlige skuespillere hadde brukt smalt målrettede e-postkampanjer med spydfiske som bærer ekstern tilgang på trojanske nyttelaster som ondsinnede vedlegg. Utvalget av RAT-skadelig programvare som ble brukt i kampanjen, varierte veldig og inkluderer beryktede navn som Agent Tesla, Loki og AZORult. Disse verktøyene har både muligheten til å stjele sensitiv informasjon og nettleserinnlogginger, men også til å logge tastetrykk.

Kampanjen er nesten helt fokusert på olje- og gasselskaper, men det er noen få målrettede avvikere som er innenfor IT- og mediesektoren. Merkelig nok er flertallet av de målrettede selskapene lokalisert i Sør-Korea, med andre mål lokalisert over hele kloden, inkludert Europa og USA, samt De forente arabiske emirater.

Forskere bemerket også at et av målene i den ondsinnede kampanjen var markant forskjellig fra resten. Den rare heter FEBC og er en radiosendingsenhet lokalisert i Sør-Korea, som ifølge forskerne ved Intezer søker å "undergrave religionsforbudet" i landets nordnabo.

Spyd-phishing-e-postene bruker falske avsenderfelt og er laget for å se ut som om de virkelig stammer fra adresser og selskaper som er kjent for ofrene. Noen av e-postene brukte typosquatted domener - et domene som har et enkelt tegn som er forskjellig fra det legitime, for eksempel en prikk erstattet med en bindestrek eller en "L" byttet med en 1.

Kroppen til de ondsinnede e-postene inneholder vanligvis det som ser ut som et legitimt forretningstilbud. Nyttelastene er inneholdt i falske PDF-filer som virkelig er .cab-arkiver eller .iso-bilder. Intezer påpekte også at nyttelasten distribueres ved hjelp av fileless teknikker, distribueres direkte i systemminnet uten å legge igjen filer på harddisken som kan utløse potensielle forsvar.

Intezer påpekte også at e-postene var spesielt godt utført med tanke på formatering, og det er lagt stor vekt på å få dem til å se ut som legitime forretningskorrespondanser. Det er mange små detaljer i teksten i e-postene som indikerer at trusselen skuespilleren bak dette ikke er en amatør og har veldig god forståelse av hvordan legitim, høyt profilert forretningskorrespondanse ser ut.