Σύμφωνα με μια έρευνα της εταιρείας ασφαλείας Integer Labs, μια ιρανική hacking ομάδα πραγματοποιεί spear-phishing επιθέσεις με στόχο κυβερνητικούς υπαλλήλους των ΗΠΑ. Οι ερευνητές έχουν συνδέσει τις επιθέσεις με μια hacking ομάδα που είναι γνωστή ως APT34 ή OilRig.
Η APT34 συνεργάζεται και χρηματοδοτείται από την ιρανική κυβέρνηση και δραστηριοποιείται εδώ και έξι χρόνια. Εμπλέκεται κυρίως σε εκστρατείες κατασκοπείας.
Στόχος των νέων της επιθέσεων είναι η εγκατάσταση κακόβουλων λογισμικών στα κυβερνητικά συστήματα των ΗΠΑ.
Σύμφωνα με την έρευνα, οι hackers έχουν ξεκινήσει μια πολύ “έξυπνη” και καλά οργανωμένη spear-phishing εκστρατεία.
Οι hackers στέλνουν spear-phishing emails, τα οποία υποτίθεται ότι προέρχονται από τη Westat, μια εταιρεία που πραγματοποιεί μελέτες σχετικά με τις κυβερνητικές υπηρεσίες. Είναι πολύ γνωστή εταιρεία και έχει πραγματοποιήσει έρευνες για περισσότερες από 80 ομοσπονδιακές υπηρεσίες τα τελευταία 16 χρόνια. Συνήθως, οι εργαζόμενοι καλούνται να απαντήσουν σε ερωτήσεις σχετικά με τις συνθήκες εργασίας, τη διαχείριση και την ικανοποίηση από την εργασία.
Η Intezer λέει ότι η APT34 στέλνει ψεύτικα emails που μοιάζουν πολύ με αυτά της Westat και διανέμουν “έρευνες” σε αρχείο Excel.
Νέα βελτιωμένα malware
Αυτά τα έγγραφα περιέχουν κακόβουλο κώδικα που εκτελείται αν το θύμα ενεργοποιήσει μακροεντολές στο Excel. Σύμφωνα με τους ερευνητές, ο κακόβουλος κώδικας κατεβάζει και εγκαθιστά δύο κακόβουλα λογισμικά, το TONEDEAF και το VALUEVAULT.
Το ένα είναι backdoor, ενώ το άλλο password stealer (κλέβει κωδικούς πρόσβασης).
Έχουν χρησιμοποιηθεί ξανά από την ομάδα APT34, σε μια spear-phishing εκστρατεία που έλαβε χώρα τον περασμένο Ιούλιο.
Ωστόσο, οι ερευνητές υποστηρίζουν ότι πρόκειται για νέες βελτιωμένες εκδόσεις των κακόβουλων λογισμικών, που έχουν τροποποιηθεί για να υπηρετούν τους στόχους της συγκεκριμένης εκστρατείας.
Για παράδειγμα, το VALUEVAULT περιέχει πλέον μια λειτουργία κλοπής κωδικών πρόσβασης από τον Chrome browser, ενώ προηγουμένως εκμεταλλευόταν το Windows Vault. Πιθανότατα η αλλαγή έγινε επειδή είναι γνωστό ότι οι κυβερνητικές υπηρεσίες των ΗΠΑ χρησιμοποιούν Chrome.
Ο Intezer έχει ονομάσει τις νέες εκδόσεις των κακόβουλων λογισμικών TONEDEAF 2.0 και VALUEVAULT 2.0.
Απ’ ότι φαίνεται, οι hackers προσπάθησαν να βελτιώσουν τα hacking εργαλεία τους σε μια προσπάθεια να αποφύγουν τον εντοπισμό μετά την ανακάλυψη της επίθεσης.
Δεν γνωρίζουμε ακόμα πότε ξεκίνησε αυτή η spear-phishing εκστρατεία της APT34, που παρουσιάζεται ως μελέτη της Westat.
Η εκστρατεία συνεχίζεται
“Αυτό που γνωρίζουμε είναι ότι το comand and control domain του malware δημιουργήθηκε πριν από 4 μήνες και πριν από ένα μήνα εκδόθηκε πιστοποιητικό για το website” δήλωσε ο Paul Litvak, αναλυτής malware στην Intezer Labs.
Ο Litvak πιστεύει ότι η εκστρατεία είναι ακόμα σε εξέλιξη και προειδοποιεί ότι πέρα από τους κυβερνητικούς υπαλλήλους μπορεί να κινδυνεύουν και άλλες εμπορικές οντότητες που συμμετέχουν σε μελέτες της Westat.
Η Intezer δήλωσε ότι ενημέρωσε χθες τη Westat για το περιστατικό.
