Τρίτη, 27 Οκτωβρίου, 16:58
Αρχική security APT34: Νέα εκστρατεία χρησιμοποιεί το LinkedIn για τη διανομή malware

APT34: Νέα εκστρατεία χρησιμοποιεί το LinkedIn για τη διανομή malware

APT34Η ομάδα APT34 έκανε ξανά την εμφάνισή της με μια νέα επίθεση. Η ομάδα, που σχετίζεται με το Ιράν, είναι ενεργή από το 2014 και στοχεύει κυρίως οργανισμούς στον οικονομικό, κυβερνητικό, ενεργειακό και τηλεπικοινωνιακό τομέα στις Ηνωμένες Πολιτείες και τις χώρες της Μέσης Ανατολής.

Κάποιοι ερευνητές από την εταιρεία FireEye αποκάλυψαν μια νέα εκστρατεία κατασκοπείας, που πραγματοποιήθηκε από την ομάδα APT34 (OilRig και HelixKitten, Greenbug). Οι hackers χρησιμοποίησαν το LinkedIn για την εκστρατεία τους. Συγκεκριμένα, τα μέλη της ομάδας παρουσιάστηκαν ως ερευνητές από το Cambridge και ζητούσαν από τα θύματα να συμμετάσχουν στο δίκτυό τους. Στόχος τους, φυσικά, είναι η διανομή κακόβουλου λογισμικού.

Οι ερευνητές ανακάλυψαν την εκστρατεία στα τέλη του Ιουνίου. Σύμφωνα με τα λεγόμενά τους, υπήρχαν τρία χαρακτηριστικά, που τους τράβηξαν την προσοχή:

  1. Η εμφάνιση των hackers ως καθηγητές-ερευνητές του Πανεπιστημίου του Cambridge για να κερδίσουν την εμπιστοσύνη των θυμάτων και να τους πείσουν να ανοίξουν κακόβουλα έγγραφα
  2. Χρήση του LinkedIn για την παράδοση κακόβουλων εγγράφων
  3. Προσθήκη τριών νέων οικογενειών κακόβουλου λογισμικού στα χέρια της ομάδας AP34

Ένα από τα εργαλεία, που χρησιμοποιούσε η ομάδα για τις επιθέσεις είναι το Pickpocket, το οποίο κλέβει δεδομένα και είναι αποκλειστικά συνδεδεμένο με τις επιθέσεις της APT34.

Ο αρχικός στόχος ήταν οργανισμοί στον τομέα της ενέργειας, του πετρελαίου και του φυσικού αερίου, καθώς και κυβερνητικές υπηρεσίες.

Οι hackers ζητούσαν από τα θύματα να ανοίξουν ένα μολυσμένο αρχείο excel με το όνομα ERFT-Details.xls. Έστελναν στο θύμα ένα μήνυμα από το LinkedIn, το οποίο υποτίθεται ότι προερχόταν από το “Ερευνητικό Προσωπικό του Πανεπιστημίου του Cambridge” και ζητούσαν βιογραφικά για πιθανές ευκαιρίες απασχόλησης.

Αυτή η τεχνική, κατά την οποία ο hacker προσπαθεί να κερδίσει την εμπιστοσύνη του θύματος είναι γνωστή σε πολλές εκστρατείες κατασκοπείας.

Τα τρία νέα κακόβουλα λογισμικά, που εντοπίστηκαν σε αυτή την εκστρατεία, έχουν ονομαστεί: TONEDEAF, VALUEVAULT και LONGWATCH.

Το Tonedeaf είναι ένα backdoor, που επικοινωνεί με έναν command-and-control server (C2) μέσω αιτημάτων HTTP GET και POST. Έχει τη δυνατότητα να συλλέγει πληροφορίες συστήματος, να μεταφορτώνει και να κάνει λήψη αρχείων, να εκτελεί αυθαίρετα εντολές.

Το ValueVault είναι ένα εργαλείο κλοπής credentials και το Longwatch είναι ένα keylogger.

“Υποψιαζόμαστε ότι δεν θα είναι η τελευταία φορά που η ομάδα APT34 φέρνει νέα εργαλεία”, δήλωσαν οι ερευνητές. Η ομάδα χρησιμοποιεί συνεχώς νέες μεθόδους για να αποφύγει τους μηχανισμούς ανίχνευσης, ειδικά εάν ο στόχος είναι πολύ σημαντικός. Γι’ αυτό το λόγο, η εταιρεία συνιστά στους οργανισμούς να προσέχουν πολύ και να φροντίζουν για την ασφάλεια των δεδομένων τους.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Η Microsoft περιορίζει τη διαθεσιμότητα των Windows 10 20H2

Η Microsoft αυτή τη στιγμή περιορίζει τη διαθεσιμότητα των Windows 10 20H2 για να παρέχει σε όλους τους χρήστες που θέλουν να...

Πως να ενεργοποιήσετε τη νέα μυστική λειτουργία Read more του Chrome

Η τελευταία έκδοση του προγράμματος περιήγησης Google Chrome, v86, που κυκλοφόρησε νωρίτερα αυτό το μήνα, περιέχει ένα μυστικό χαρακτηριστικό που ονομάζεται Read...

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...

Αυστραλία: Ενισχύει την κυβερνοασφάλεια και την προστασία απορρήτου!

Η κυβέρνηση της Νέας Νότιας Ουαλίας στην Αυστραλία έχει δημιουργήσει μια ειδική ομάδα, με στόχο να ενισχύσει την κυβερνοασφάλεια και την προστασία...

Πάνω από 100 συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο

Πάνω από 100 έξυπνα συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο χωρίς κωδικό πρόσβασης τον περασμένο μήνα, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση...

Παραβίαση στη Nitro Software επηρεάζει πιθανότατα Google, Apple, Microsoft

Η υπηρεσία Nitro PDF (της Nitro Software) υπέστη μια παραβίαση δεδομένων, η οποία λέγεται ότι επηρεάζει πολλές γνωστές εταιρείες, όπως η Google,...