Kolumbijske energetske i metalske tvrtke na udaru novih trojanskih napada

  • Sep 07, 2023

Val napada na tvrtke u Kolumbiji koristi tri trojanaca s daljinskim pristupom (RAT) za krađu povjerljivih, osjetljivih podataka.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Kampanja, sinkronizirano Operacija Spalax, otkrili su ESET-ovi istraživači u utorak.

U postu na blogu tvrtka za kibernetičku sigurnost rekla je da su vlada i privatni subjekti u Kolumbiji isključivo na meti aktera prijetnje, koji izgleda imaju poseban interes u energetici i metalurgiji industrije.

ESET je počeo pratiti kampanju, koja je u tijeku, u drugoj polovici 2020. kada su najmanje 24 IP adrese -- vjerojatno kompromitirani uređaji koji djeluju kao proxy poslužitelji za naredbu i kontrolu (C2) napadača -- bili su povezani s nizom napadi.

Kako bi započeli lanac infekcije protiv ciljnog entiteta, akteri prijetnje koriste tradicionalnu metodu: phishing e-poštu. Predmeti ovih lažnih poruka variraju od zahtjeva za prisustvovanje sudskim ročištima do upozorenja o blokadi bankovnog računa i obavijesti o obaveznom testiranju na COVID-19.

U nekim su uzorcima lažno predstavljane agencije, uključujući Ured državnog odvjetnika (Fiscalia General de la Nacion) i Nacionalnu upravu za poreze i carine (DIAN).

Svaka e-poruka ima priloženu .PDF datoteku koja povezuje na .RAR arhivu. Ako žrtva preuzme paket -- koji se nalazi na OneDriveu, MediaFireu i drugim uslugama hostinga -- izvršna datoteka unutar njega pokreće zlonamjerni softver.

Akteri prijetnje koriste odabir droppera i pakirača za postavljanje trojanskih korisnih opterećenja, a svrha svega je izvršiti RAT ubacivanjem u legitiman proces.

Sva tri korisna opterećenja dostupna su komercijalno i kibernetički napadači ih nisu razvili u tvrtki.

Prvi je Remcos, malware dostupan na podzemnim forumima za već od 58 dolara. Drugi RAT je njRAT, trojanac koji je nedavno uočen u kampanjama koristeći Pastebin kao alternativa C2 ​​strukturama, a treći je AsyncRAT, open source alat za daljinsku administraciju.

"Ne postoji odnos jedan-na-jedan između kapalica i nosivosti, budući da smo vidjeli različite vrste dropperi koji pokreću isti korisni teret i također jednu vrstu droppera koji je povezan s različitim korisnim teretima," ESET bilješke. "Međutim, možemo reći da NSIS dropperi uglavnom ispuštaju Remcos, dok pakeri Agent Tesla i AutoIt obično ispuštaju njRAT."

RAT-ovi mogu pružiti kontrolu daljinskog pristupa akterima prijetnji i također sadrže module za keylogging, snimanje zaslona, prikupljanje sadržaja međuspremnika, ekstrakcija podataka te preuzimanje i izvođenje dodatnog zlonamjernog softvera, među ostalim funkcije.

Prema ESET-u, nema konkretnih tragova za atribuciju, međutim, postoje neka preklapanja s APTC36, također poznatim kao Blind Eagle. Ovaj APT bio je povezan s napadima 2019. protiv kolumbijskih subjekata u cilju krađe osjetljivih informacija.

Napadačevo korištenje dinamičkih DNS usluga znači da je i infrastruktura kampanje konstantna mijenja se, s novim nazivima domena koji se redovito registriraju za korištenje protiv kolumbijskih tvrtki osnova.

ESET je također primijetio poveznice s istraživanjem koje je proveo Trend Micro u 2019. Taktike krađe identiteta su slične, ali dok se izvješće tvrtke Trend Micro odnosi na špijuniranje i potencijalno ciljanje financijskih računa, ESET nije otkrio nikakvu upotrebu korisnog opterećenja osim kibernetičke špijunaže. Međutim, tvrtka priznaje da neke od meta trenutne kampanje -- uključujući agenciju za lutriju -- ne izgledaju logično samo za špijuniranje.

Tvrtka za kibernetičku sigurnost dodala je da zbog velike i brzo promjenjive infrastrukture ove kampanje, možemo očekivati ​​da će se ti napadi nastaviti u regiji u doglednoj budućnosti.

Prethodno i povezano izvješće

  • Sjevernokorejski hakeri lansiraju RokRat Trojan u kampanjama protiv Juga
  • Izvorni kod bankarskog trojanca Cerberus besplatno je pušten kibernetičkim napadačima
  • Vaše niti e-pošte sada je otet od strane trojanca QBot

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0