Val napada na tvrtke u Kolumbiji koristi tri trojanaca s daljinskim pristupom (RAT) za krađu povjerljivih, osjetljivih podataka.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Kampanja, sinkronizirano Operacija Spalax, otkrili su ESET-ovi istraživači u utorak.
U postu na blogu tvrtka za kibernetičku sigurnost rekla je da su vlada i privatni subjekti u Kolumbiji isključivo na meti aktera prijetnje, koji izgleda imaju poseban interes u energetici i metalurgiji industrije.
ESET je počeo pratiti kampanju, koja je u tijeku, u drugoj polovici 2020. kada su najmanje 24 IP adrese -- vjerojatno kompromitirani uređaji koji djeluju kao proxy poslužitelji za naredbu i kontrolu (C2) napadača -- bili su povezani s nizom napadi.
Kako bi započeli lanac infekcije protiv ciljnog entiteta, akteri prijetnje koriste tradicionalnu metodu: phishing e-poštu. Predmeti ovih lažnih poruka variraju od zahtjeva za prisustvovanje sudskim ročištima do upozorenja o blokadi bankovnog računa i obavijesti o obaveznom testiranju na COVID-19.
U nekim su uzorcima lažno predstavljane agencije, uključujući Ured državnog odvjetnika (Fiscalia General de la Nacion) i Nacionalnu upravu za poreze i carine (DIAN).
Svaka e-poruka ima priloženu .PDF datoteku koja povezuje na .RAR arhivu. Ako žrtva preuzme paket -- koji se nalazi na OneDriveu, MediaFireu i drugim uslugama hostinga -- izvršna datoteka unutar njega pokreće zlonamjerni softver.
Akteri prijetnje koriste odabir droppera i pakirača za postavljanje trojanskih korisnih opterećenja, a svrha svega je izvršiti RAT ubacivanjem u legitiman proces.
Sva tri korisna opterećenja dostupna su komercijalno i kibernetički napadači ih nisu razvili u tvrtki.
Prvi je Remcos, malware dostupan na podzemnim forumima za već od 58 dolara. Drugi RAT je njRAT, trojanac koji je nedavno uočen u kampanjama koristeći Pastebin kao alternativa C2 strukturama, a treći je AsyncRAT, open source alat za daljinsku administraciju.
"Ne postoji odnos jedan-na-jedan između kapalica i nosivosti, budući da smo vidjeli različite vrste dropperi koji pokreću isti korisni teret i također jednu vrstu droppera koji je povezan s različitim korisnim teretima," ESET bilješke. "Međutim, možemo reći da NSIS dropperi uglavnom ispuštaju Remcos, dok pakeri Agent Tesla i AutoIt obično ispuštaju njRAT."
RAT-ovi mogu pružiti kontrolu daljinskog pristupa akterima prijetnji i također sadrže module za keylogging, snimanje zaslona, prikupljanje sadržaja međuspremnika, ekstrakcija podataka te preuzimanje i izvođenje dodatnog zlonamjernog softvera, među ostalim funkcije.
Prema ESET-u, nema konkretnih tragova za atribuciju, međutim, postoje neka preklapanja s APTC36, također poznatim kao Blind Eagle. Ovaj APT bio je povezan s napadima 2019. protiv kolumbijskih subjekata u cilju krađe osjetljivih informacija.
Napadačevo korištenje dinamičkih DNS usluga znači da je i infrastruktura kampanje konstantna mijenja se, s novim nazivima domena koji se redovito registriraju za korištenje protiv kolumbijskih tvrtki osnova.
ESET je također primijetio poveznice s istraživanjem koje je proveo Trend Micro u 2019. Taktike krađe identiteta su slične, ali dok se izvješće tvrtke Trend Micro odnosi na špijuniranje i potencijalno ciljanje financijskih računa, ESET nije otkrio nikakvu upotrebu korisnog opterećenja osim kibernetičke špijunaže. Međutim, tvrtka priznaje da neke od meta trenutne kampanje -- uključujući agenciju za lutriju -- ne izgledaju logično samo za špijuniranje.
Tvrtka za kibernetičku sigurnost dodala je da zbog velike i brzo promjenjive infrastrukture ove kampanje, možemo očekivati da će se ti napadi nastaviti u regiji u doglednoj budućnosti.
Prethodno i povezano izvješće
-
Sjevernokorejski hakeri lansiraju RokRat Trojan u kampanjama protiv Juga
-
Izvorni kod bankarskog trojanca Cerberus besplatno je pušten kibernetičkim napadačima
-
Vaše niti e-pošte sada je otet od strane trojanca QBot
Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0