ΑρχικήsecurityCOVID-19 κατασκοπεία: Η APT32 στοχεύει την κυβέρνηση της Wuhan

COVID-19 κατασκοπεία: Η APT32 στοχεύει την κυβέρνηση της Wuhan

COVID-19 κατασκοπεία

Η FireEye πιστεύει ότι η hacking ομάδα APT32, γνωστή και ως Ocean Lotus, συμμετείχε σε μια spear-phishing εκστρατεία με στόχο την κυβέρνηση της Wuhan και του κινεζικού Υπουργείου Διαχείρισης Έκτακτων Αναγκών. Στόχος είναι η κατασκοπεία και η απόκτηση πληροφοριών που σχετίζονται με την πανδημία COVID-19 που έχει επηρεάσει όλο τον πλανήτη. Η Ocean Lotus λέγεται ότι συνδέεται με την κυβέρνηση του Βιετνάμ.

Η FireEye ανέφερε ότι η COVID-19 κατασκοπεία ξεκίνησε στις 6 Ιανουαρίου, όταν στάλθηκε ένα phishing email στο κινεζικό Υπουργείο Διαχείρισης Έκτακτων Αναγκών, που περιείχε έναν σύνδεσμο. Αυτός ο σύνδεσμος ενημέρωνε την hacking ομάδα για το άνοιγμα του email. Εξετάζοντας τις διευθύνσεις URL, η FireEye είπε ότι η ομάδα προσπαθούσε να κατασκοπεύσει και την κυβέρνηση της Wuhan.

Τα domains στους ενσωματωμένους συνδέσμους ήταν ίδια με εκείνα που χρησιμοποιήθηκαν τον Δεκέμβριο σε μια άλλη phishing εκστρατεία στη Νοτιοανατολική Ασία, που ονομάστηκε Metaljack.

“Η APT32 πιθανότατα χρησιμοποίησε κακόβουλα συνημμένα με θέμα τον COVID-19“, δήλωσε η FireEye.

Wuhan

“Δεν έχουμε αποκαλύψει την πλήρη αλυσίδα εκτέλεσης, όμως ανακαλύψαμε ένα Metaljack loader που εμφανίζει κατά την έναρξη του payload του, ένα έγγραφο με τίτλο COVID-19 στην κινεζική γλώσσα”.

Το shellcode payload συλλέγει πληροφορίες συστήματος και τις προσαρτά σε συμβολοσειρές διευθύνσεων URL. Στη συνέχεια, φορτώνει το Metaljack στη μνήμη.

Σύμφωνα με τη FireEye, η κρίση που έχει προκύψει από τον COVID-19, δημιουργεί μια έντονη ανησυχία για τις κυβερνήσεις και υπάρχει μια ατμόσφαιρα δυσπιστίας που ενθαρρύνει τη συλλογή πληροφοριών με τέτοιους τρόπους.

“Μέχρι να τελειώσει αυτή η κρίση, αναμένουμε ότι η κατασκοπεία στον κυβερνοχώρο θα συνεχίσει να εντείνεται παγκοσμίως”.

Η APT32 είχε προηγουμένως συνδεθεί με επιθέσεις κατά της Toyota Australia και της Toyota Japan. Επίσης, στο τέλος του 2019, κατηγορήθηκε για παραβιάσεις στα δίκτυα των BMW και Hyundai.

Η Palo Alto Networks δήλωσε ότι έχει ανακαλύψει πάνω από 116.000 domain names που σχετίζονται με τον κορωνοϊό, από την αρχή του έτους έως τις 31 Μαρτίου. Από αυτά, τα 2.000 χαρακτηρίστηκαν ως κακόβουλα και πάνω από 40.000 ως υψηλού κινδύνου.

Η εταιρεία είπε ότι ο χαρακτηρισμός «κακόβουλα» τοποθετήθηκε σε όλα τα domains που εμπλέκονται σε command and control, phishing, και malware διανομή. Τα domains υψηλού κινδύνου ήταν κυρίως scam σελίδες και coin miners.

“Οι άνθρωποι θα πρέπει να είναι ιδιαίτερα προσεκτικοί με emails και νέα sites που σχετίζονται με τον COVID-19, είτε ισχυρίζονται ότι διαθέτουν πληροφορίες για τον ιό, είτε μια θεραπεία”, δήλωσε η εταιρεία.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS