Naukowcy odkrywają długoterminową kampanię cyberszpiegowską
Badacze bezpieczeństwa ujawnili niedawno informacje o długoterminowej kampanii cyberszpiegowskiej wymierzonej w firmy z branży paliwowej na całym świecie. Kampania koncentrowała się na długoterminowym unikaniu wykrycia i umieszczaniu trojanów zdalnego dostępu w sieciach ofiar w celu trwałej eksfiltracji danych i szpiegowania.
Badacze z firmy Intezer zajmującej się bezpieczeństwem ujawnili, że źli aktorzy używali wąsko ukierunkowanych kampanii e-mailowych typu spear-phishing, które zawierają trojany zdalnego dostępu jako złośliwe załączniki. Gama złośliwego oprogramowania RAT użytego w kampanii była bardzo zróżnicowana i obejmowała niesławne nazwiska, takie jak Agent Tesla, Loki i AZORult. Narzędzia te mają możliwość kradzieży poufnych informacji i logowania do przeglądarki, ale także rejestrują naciśnięcia klawiszy.
Kampania jest prawie w całości skoncentrowana na firmach naftowych i gazowych, ale istnieje kilka ukierunkowanych odstających postaci, które działają w sektorach IT i mediach. Co ciekawe, większość docelowych firm znajduje się w Korei Południowej, a inne cele znajdują się na całym świecie, w tym w Europie i Stanach Zjednoczonych, a także w Zjednoczonych Emiratach Arabskich.
Badacze zauważyli również, że jeden z celów złośliwej kampanii znacznie różnił się od pozostałych. Najdziwniejszy z nich nazywa się FEBC i jest jednostką radiową zlokalizowaną w Korei Południowej, która według naukowców z Intezer dąży do „obalenia zakazu religii” u północnego sąsiada kraju.
E-maile typu spear-phishing wykorzystują pola sfałszowanych nadawców i wyglądają tak, jakby rzeczywiście pochodziły z adresów i firm, które byłyby dobrze znane ofiarom. Niektóre e-maile wykorzystywały domeny z literówkami — domena, która ma jeden znak inny niż prawdziwy, na przykład kropkę zastąpiono myślnikiem lub literę „L” zamieniono na 1.
Treść złośliwych wiadomości e-mail zazwyczaj zawiera coś, co wygląda na legalną ofertę biznesową. Ładunki są zawarte w fałszywych plikach PDF, które w rzeczywistości są archiwami .cab lub obrazami .iso. Intezer zwrócił również uwagę, że ładunek jest wdrażany przy użyciu technik bezplikowych, wdrażając się bezpośrednio do pamięci systemowej bez pozostawiania na dysku twardym żadnych plików, które mogą uruchomić potencjalną ochronę.
Intezer zwrócił również uwagę, że e-maile były szczególnie dobrze wykonane pod względem formatowania i dołożono wszelkich starań, aby wyglądały jak legalna korespondencja biznesowa. W treści tych e-maili znajduje się wiele drobnych szczegółów, które wskazują, że podmiot stojący za tym zagrożeniem nie jest amatorem i bardzo dobrze rozumie, jak wygląda legalna, głośna korespondencja biznesowa.
