Μια εκστρατεία κατασκοπείας στο διαδίκτυο έχει εντοπιστεί να στοχεύει συνδρομητές της λίστας αλληλογραφίας, που ανήκει στην Κεντρική Διοίκηση του Θιβέτ (CTA).
Η CTA της Ινδίας είναι μια οργάνωση που εκπροσωπεί επίσημα την εξόριστη κυβέρνηση του Θιβέτ. Το έδαφος του Θιβέτ διοικείται από τη Λαϊκή Δημοκρατία της Κίνας – αλλά η CTA το θεωρεί ως παράνομη στρατιωτική κατοχή. Η CTA πιστεύει ότι το Θιβέτ είναι ένα ξεχωριστό ανεξάρτητο έθνος.
Οι ερευνητές με την Cisco Talos ανακάλυψαν πρόσφατα, στη λίστα αλληλογραφίας της CTA, spam emails τα οποία είχαν αποσταλεί στους συνδρομητές. Τα emails, τα οποία υποτίθεται ότι προέρχονται από την CTA, ανέφεραν ότι εορτάζουν την επερχόμενη 60ή επέτειο της εξορίας του Δαλάι Λάμα στις 31 Μαρτίου με ένα συνημμένο έγγραφο Power Point με τίτλο “Το Θιβέτ δεν ήταν ποτέ μέρος της Κίνας».
Ωστόσο, το συνημμένο αρχείο είναι στην πραγματικότητα ένα κακόβουλο αρχείο PPSX, που χρησιμοποιείται ως dropper για να επιτρέψει σε έναν εισβολέα να εκτελέσει διάφορα JavaScript scripts και τελικά να κατεβάσει ένα payload στα συστήματα των θυμάτων. Αυτό το payload, είναι ουσιαστικά ένα trojan με απομακρυσμένη πρόσβαση (RAT), που ονομάζεται ExileRAT και κλέβει πληροφορίες του υπολογιστή.
“Δεδομένης της φύσης αυτού του κακόβουλου λογισμικού και των στόχων του, είναι πιθανό να σχεδιάστηκε για λόγους κατασκοπείας και όχι οικονομικού κέρδους”, ανέφεραν οι ερευνητές Warren Mercer, Paul Rascagneres και Jaeson Schultz. “Αυτό είναι μόνο ένα μέρος μιας συνεχούς τάσης εθνικών φορέων που εργάζονται για να κατασκοπεύουν τους πολίτες για πολιτικούς λόγους”.
Οι ερευνητές είπαν στο Threatpost ότι μέχρι τώρα δεν έχουν πληροφορίες για το ποιος βρίσκεται πίσω από αυτή την εκστρατεία.
Μέθοδος μόλυνσης
Ο Craig Williams, διευθυντής κοινωνικής δραστηριότητας της Cisco Talos, δήλωσε στο Threatpost ότι η εταιρεία παρατήρησε το πρώτο δείγμα από την εκστρατεία στις 30 Ιανουαρίου.
Αν και δεν είναι γνωστός ο αριθμός των ατόμων στη λίστα αλληλογραφίας της CTA, φαίνεται ότι όλοι όσοι περιλαμβάνονται έλαβαν το email.
Η υποδομή της λίστας αλληλογραφίας διεξάγεται από τη DearMail, που εδρεύει στην Ινδία. Οι ερευνητές είπαν ότι οι επιτιθέμενοι τροποποίησαν το τυπικό header “Reply-To”, ώστε οι απαντήσεις να κατευθύνονται πίσω σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου, που ανήκει στους χάκερς (mediabureauin [at] gmail.com).
Το email ονομάζεται “Το-Θιβέτ-δεν-ήταν-ποτέ-μέρος της Κίνας».
Οι ερευνητές δήλωσαν ότι το email περιείχε ένα κακόβουλο συνημμένο αρχείο PPSX, που προοριζόταν να επιτεθεί στους συνδρομητές της λίστας αλληλογραφίας της CTA. Το PPSX είναι μια μορφή αρχείου που χρησιμοποιείται για να παραδώσει μια μη επεξεργάσιμη προβολή διαφανειών, που προέρχεται από ένα έγγραφο του Microsoft PowerPoint.
Το συνημμένο έγγραφο είναι ένα μεγάλο σύνολο διαφανειών (αποτελούμενο από πάνω από 240 διαφάνειες). Είναι ενδιαφέρον ότι το έγγραφο είναι στην πραγματικότητα ένα αντίγραφο ενός νόμιμου αρχείου PDF, που είναι διαθέσιμο για λήψη από την αρχική σελίδα του tibet.net της CTA, σύμφωνα με τους ερευνητές.
Αυτή η επίθεση εκμεταλλεύεται το CVE-2017-0199, μια πολύ σοβαρή ευπάθεια στο Microsoft Office, η οποία επιτρέπει σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα μέσω ενός επεξεργασμένου εγγράφου. Μόλις γίνει η λήψη, το κακόβουλο αρχείο PPSX εκτελεί ένα Javascript που είναι υπεύθυνο για τη λήψη του payload, ExileRAT (“syshost.exe”), από τον server εντολών και ελέγχου (C2).
Το ExileRAT είναι ικανό να μεταφέρει πληροφορίες σχετικά με το σύστημα (όνομα υπολογιστή, όνομα χρήστη, μονάδες δίσκων, network adapter, όνομα διαδικασίας), διεκπεραιώνοντας ή τερματίζοντας διαδικασίες.
Σύνδεση με το LuckyCat RAT
Είναι ενδιαφέρον ότι η υποδομή που χρησιμοποιήθηκε για το C2 ήταν προηγουμένως συνδεδεμένη με το LuckyCat Android RAT. Το LuckyCat Android RAT χρησιμοποιήθηκε το 2012 κατά των ακτιβιστών του Θιβέτ.
“Η νεότερη έκδοση [Ιαν. 3] περιλαμβάνει τα ίδια χαρακτηριστικά με την έκδοση του 2012 (φόρτωση αρχείων, λήψη, κλοπή πληροφοριών και απομακρυσμένη διαγραφή) αλλά προσθέτει πολλές νέες λειτουργίες, όπως αφαίρεση αρχείων, εκτέλεση εφαρμογών, εγγραφή ήχου, κλοπή προσωπικών επαφών, κλοπή SMS, κλοπή τοποθεσίας”, ανέφεραν οι ερευνητές της Cisco.
, που ονομάζεται ExileRAT και κλέβει πληροφορίες του υπολογιστή){kind=link}