Forskare avslöjar långvarig kapacitet för cyberspionage
Säkerhetsforskare har nyligen avslöjat information om en långvarig cyber-spionagekampanj riktad mot företag inom bränsleindustrin över hela världen. Kampanjen var inriktad på att undvika långvarig upptäckt och plantera fjärråtkomsttrojaner i offrenätverk i syfte att bestå dataexfiltrering och spionering.
Forskare med säkerhetsföretaget Intezer avslöjade att dåliga skådespelare hade använt smalt riktade spear-phishing-e-postkampanjer som bär fjärråtkomst trojan-nyttolaster som skadliga bilagor. Utbudet av RAT-skadlig programvara som användes i kampanjen varierade kraftigt och inkluderar ökända namn som Agent Tesla, Loki och AZORult. Dessa verktyg har förmågan att både stjäla känslig information och webbläsarinloggningar, men också att logga tangenttryckningar.
Kampanjen är nästan helt inriktad på olje- och gasföretag, men det finns några riktade avvikare inom IT- och mediesektorn. Märkligt nog ligger de flesta av de riktade företagen i Sydkorea, med andra mål över hela världen, inklusive Europa och USA, samt Förenade Arabemiraten.
Forskare noterade också att ett av målen i den skadliga kampanjen var markant annorlunda än resten. Den udda heter ut FEBC och är en radiosändningsenhet belägen i Sydkorea, som enligt forskarna vid Intezer försöker "undergräva religionens förbud" i landets nordliga granne.
Spear-phishing-e-postmeddelandena använder falska avsändarfält och får se ut som om de verkligen härstammar från adresser och företag som är välkända för offren. Några av e-postmeddelandena använde typkvarterade domäner - en domän som har en enda karaktär som skiljer sig från den legitima, till exempel en punkt ersatt med en bindestreck eller ett "L" bytt med en 1.
Kroppen av de skadliga e-postmeddelanden innehåller vanligtvis det som ser ut som ett legitimt affärserbjudande. Nyttolasten finns i falska PDF-filer som verkligen är .cab-arkiv eller .iso-bilder. Intezer påpekade också att nyttolasten distribueras med fillösa tekniker och distribueras direkt i systemminnet utan att lämna några filer på hårddisken som kan utlösa potentiella försvar.
Intezer påpekade också att e-postmeddelandena var särskilt väl utförda när det gäller formatering och stor omsorg har tagits för att få dem att se ut som legitima affärskorrespondenser. Det finns många små detaljer i texten i dessa e-postmeddelanden som indikerar att hotaktören bakom detta inte är någon amatör och har ett mycket bra grepp om hur legitim, högprofilerad affärskorrespondens ser ut.
