Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS
infosec

Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS

Ερευνητές ασφαλείας, ανακάλυψαν πολλά αρχεία Windows EXE, που χρησιμοποιούν κακόβουλα payloads για να μολύνουν τους χρήστες macOS με infostealers και...
Read More
infosec

Η Cisco προειδοποιεί για σφάλμα κωδικού στο Network Assurance Engine

Η Cisco προειδοποιεί τους πελάτες της πως πρέπει άμεσα να εγκαταστήσουν μία αναβάθμιση, η οποία θα διορθώσει ένα πολύ σοβαρό...
Read More
infosec

500px: Παραβίαση δεδομένων του 2018 εξέθεσε πληροφορίες χρηστών

500px: Η πλατφόρμα κοινοποίησης φωτογραφιών αποκάλυψε πως υπήρχε ένα σφάλμα ασφαλείας που εξέθεσε τα προσωπικά δεδομένα χρηστών και τις πληροφορίες...
Read More
infosec

Χακαρισμένοι λογαριασμοί Twitter χρησιμοποιούνται για να προμοτάρουν την Σαουδική Αραβία

Αρκετοί verified λογαριασμοί Twitter έχουν αναληφθεί από παλιούς συνεργάτες την Σαουδική Αραβία και μερικοί τους έχουν χρησιμοποιήσει για να προωθήσουν...
Read More
infosec

10 εταιρείες που προσπάθησαν να αγοράσουν το Facebook

Το Facebook, όπως γνωρίζουμε όλοι, δεν είναι μόνο μια από τις πιο αγαπημένες και δημοφιλής πλατφόρμες δισεκατομμύρια χρηστών αλλά και...
Read More
Latest Posts

Καμπάνια κατασκοπείας στοχεύει το Pro-Tibet Group με το ExileRAT

ExileRAT Μια εκστρατεία κατασκοπείας στο διαδίκτυο έχει εντοπιστεί να στοχεύει συνδρομητές της λίστας αλληλογραφίας, που ανήκει στην Κεντρική Διοίκηση του Θιβέτ (CTA).

Η CTA της Ινδίας είναι μια οργάνωση που εκπροσωπεί επίσημα την εξόριστη κυβέρνηση του Θιβέτ. Το έδαφος του Θιβέτ διοικείται από τη Λαϊκή Δημοκρατία της Κίνας – αλλά η CTA το θεωρεί ως παράνομη στρατιωτική κατοχή. Η CTA πιστεύει ότι το Θιβέτ είναι ένα ξεχωριστό ανεξάρτητο έθνος.

Οι ερευνητές με την Cisco Talos ανακάλυψαν πρόσφατα, στη λίστα αλληλογραφίας της CTA, spam emails τα οποία είχαν αποσταλεί στους συνδρομητές. Τα emails, τα οποία υποτίθεται ότι προέρχονται από την CTA, ανέφεραν ότι εορτάζουν την επερχόμενη 60ή επέτειο της εξορίας του Δαλάι Λάμα στις 31 Μαρτίου με ένα συνημμένο έγγραφο Power Point με τίτλο «Το Θιβέτ δεν ήταν ποτέ μέρος της Κίνας».

Ωστόσο, το συνημμένο αρχείο είναι στην πραγματικότητα ένα κακόβουλο αρχείο PPSX, που χρησιμοποιείται ως dropper για να επιτρέψει σε έναν εισβολέα να εκτελέσει διάφορα JavaScript scripts και τελικά να κατεβάσει ένα payload στα συστήματα των θυμάτων. Αυτό το payload, είναι ουσιαστικά ένα trojan με απομακρυσμένη πρόσβαση (RAT), που ονομάζεται ExileRAT και κλέβει πληροφορίες του υπολογιστή.

«Δεδομένης της φύσης αυτού του κακόβουλου λογισμικού και των στόχων του, είναι πιθανό να σχεδιάστηκε για λόγους κατασκοπείας και όχι οικονομικού κέρδους», ανέφεραν οι ερευνητές Warren Mercer, Paul Rascagneres και Jaeson Schultz. «Αυτό είναι μόνο ένα μέρος μιας συνεχούς τάσης εθνικών φορέων που εργάζονται για να κατασκοπεύουν τους πολίτες για πολιτικούς λόγους».

Οι ερευνητές είπαν στο Threatpost ότι μέχρι τώρα δεν έχουν πληροφορίες για το ποιος βρίσκεται πίσω από αυτή την εκστρατεία.

Μέθοδος μόλυνσης

Ο Craig Williams, διευθυντής κοινωνικής δραστηριότητας της Cisco Talos, δήλωσε στο Threatpost ότι η εταιρεία παρατήρησε το πρώτο δείγμα από την εκστρατεία στις 30 Ιανουαρίου.

Αν και δεν είναι γνωστός ο αριθμός των ατόμων στη λίστα αλληλογραφίας της CTA, φαίνεται ότι όλοι όσοι περιλαμβάνονται  έλαβαν το email.

Η υποδομή της λίστας αλληλογραφίας διεξάγεται από τη DearMail, που εδρεύει στην Ινδία. Οι ερευνητές είπαν ότι οι επιτιθέμενοι τροποποίησαν το τυπικό header «Reply-To», ώστε οι απαντήσεις να κατευθύνονται πίσω σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου, που ανήκει στους χάκερς (mediabureauin [at] gmail.com).

Το email ονομάζεται «Το-Θιβέτ-δεν-ήταν-ποτέ-μέρος της Κίνας».

Οι ερευνητές δήλωσαν ότι το email περιείχε ένα κακόβουλο συνημμένο αρχείο PPSX, που προοριζόταν να επιτεθεί στους συνδρομητές της λίστας αλληλογραφίας της CTA. Το PPSX είναι μια μορφή αρχείου που χρησιμοποιείται για να παραδώσει μια μη επεξεργάσιμη προβολή διαφανειών, που προέρχεται από ένα έγγραφο του Microsoft PowerPoint.

Το συνημμένο έγγραφο είναι ένα μεγάλο σύνολο διαφανειών (αποτελούμενο από πάνω από 240 διαφάνειες). Είναι ενδιαφέρον ότι το έγγραφο είναι στην πραγματικότητα ένα αντίγραφο ενός νόμιμου αρχείου PDF, που είναι διαθέσιμο για λήψη από την αρχική σελίδα του tibet.net της CTA, σύμφωνα με τους ερευνητές.

Αυτή η επίθεση εκμεταλλεύεται το CVE-2017-0199, μια πολύ σοβαρή ευπάθεια στο Microsoft Office, η οποία επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα μέσω ενός επεξεργασμένου εγγράφου. Μόλις γίνει η λήψη, το κακόβουλο αρχείο PPSX εκτελεί ένα Javascript που είναι υπεύθυνο για τη λήψη του payload, ExileRAT («syshost.exe»), από τον server εντολών και ελέγχου (C2).

Το ExileRAT είναι ικανό να μεταφέρει πληροφορίες σχετικά με το σύστημα (όνομα υπολογιστή, όνομα χρήστη, μονάδες δίσκων, network adapter, όνομα διαδικασίας), διεκπεραιώνοντας ή τερματίζοντας διαδικασίες.

Σύνδεση με το LuckyCat RAT

Είναι ενδιαφέρον ότι η υποδομή που χρησιμοποιήθηκε για το C2 ήταν προηγουμένως συνδεδεμένη με το LuckyCat Android RAT. Το LuckyCat Android RAT χρησιμοποιήθηκε το 2012 κατά των ακτιβιστών του Θιβέτ.

«Η νεότερη έκδοση [Ιαν. 3] περιλαμβάνει τα ίδια χαρακτηριστικά με την έκδοση του 2012 (φόρτωση αρχείων, λήψη, κλοπή πληροφοριών και απομακρυσμένη διαγραφή) αλλά προσθέτει πολλές νέες λειτουργίες, όπως αφαίρεση αρχείων, εκτέλεση εφαρμογών, εγγραφή ήχου, κλοπή προσωπικών επαφών, κλοπή SMS, κλοπή τοποθεσίας», ανέφεραν οι ερευνητές της Cisco.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *