Ερευνητές της Proofpoint Michael Raggi και Dennis Schwarz ανέφεραν την ύπαρξη μιας ομάδας από hackers, η οποία επιχείρησε να διεισδύσει σε επιχειρήσεις κοινής ωφέλειας των ΗΠΑ μέσα στον Ιούλιο. Την περασμένη Πέμπτη λοιπόν, οι ερευνητές δήλωσαν ότι μεταξύ 19 και 25 Ιουλίου αποστέλλονταν phishing emails σε τρεις εταιρείες που είναι υπεύθυνες για την παροχή υπηρεσιών κοινής ωφέλειας.
Τα phishing emails, υποτίθεται πως προέρχονταν από ένα συμβούλιο αδειοδότησης μηχανικών, το US National Council of Examiners for Engineering and Surveying, που ενημέρωνε τους παραλήπτες-θύματα ότι απέτυχαν σε εξετάσεις. Πρόκειται για κοινή τεχνική των επιθέσεων τύπου phishing και έχει παρατηρηθεί σε ψεύτικες καταγγελίες φοιτητικών δανείων ή φορολογικές απαιτήσεις κτλ. Το αποτέλεσμα; Εάν ο παραλήπτης εμπιστευθεί τον αποστολέα των emails, θα ακολουθήσει τις οδηγίες που του υποδεικνύονται και θα επιτρέψει τη μόλυνση του συστήματός του.
Στα συγκεκριμένα phishing emails περιέχονταν ένα έγγραφο Word με τίτλο Result Notice.doc. Αυτό εισήγαγε malicious κώδικα στο σύστημα του παραλήπτη. Εάν ένα θύμα ανοίξει το αρχείο και ενεργοποιήσει τις μακροεντολές VBA, εισέρχονται τρία αρχεία Privacy Enhanced Mail (PEM). Τα tempgup.txt, tempgup2.txt και tempsodom.txt. Αυτά αποκωδικοποιούνται και μετατρέπονται σε σημειωματάριο με τη μορφή GUP.exe, libcurl.dll – έναν κακόβουλο loader και sodom.txt, ένα αρχείο που περιέχει ρυθμίσεις παραμέτρων εντολών και ελέγχου (C2) για τον κώδικα. Έτσι εισάγεται το malware LookBack.
Το LookBack είναι ένας Trojan, γραμμένος σε C ++, ο οποίος είναι σε θέση να προβάλει δεδομένα συστήματος, να εκτελέσει κώδικα, να παραβιάσει, να κλέψει και να διαγράψει αρχεία, να τραβήξει screenshots, να μετακινήσει και να κάνει κλικ με το ποντίκι χωρίς την χρήστη κτλ. Το LookBack είναι επίσης σε θέση να δημιουργήσει ένα κανάλι C2 και έναν διακομιστή μεσολάβησης(proxy) προκειμένου να αποσπάσει και να αποστείλει πληροφορίες του συστήματος στον server του εισβολέα.
Η Proofpoint έχει συνδέσει αυτές τις phishing επιθέσεις με τις εκστρατείες APT του 2018. Εκείνες συνδέονταν με Ιαπωνικές επιχειρήσεις. Οι ερευνητές της FireEye δήλωσαν ότι η γνωστή APT10 ή Menupass που επιτίθεται στις εταιρείες μέσων μαζικής ενημέρωσης, φαίνεται να είναι κινέζικη και συνηθίζει να ακολουθεί το παράδειγμα της Ιαπωνίας. Εάν πρόκειται για τους ίδιους hackers, αυτό θα μπορούσε να σημαίνει ότι το APT 10 εντάσσει πλέον στους στόχους του τις ΗΠΑ.
