Κυριακή, 21 Φεβρουαρίου, 21:43
Αρχική security Οι Αμερικανικοί πάροχοι ενέργειας είναι στόχος ενός νέου malware

Οι Αμερικανικοί πάροχοι ενέργειας είναι στόχος ενός νέου malware

Οι Αμερικανικοί πάροχοι ενέργειας ήταν στόχος εκστρατειών spear-phishing που διέδωσαν ένα νέο remote access trojan (RAT) ικανό να παρέχει στους επιτιθέμενους τον πλήρη έλεγχο των μολυσμένων συστημάτων.

malware ενέργειας

Οι επιθέσεις έλαβαν χώρα την χρονική περίοδο μεταξύ Ιουλίου και Νοεμβρίου 2019, και η ομάδα πίσω από αυτό – αναφέρθηκε ως η TA410 από ερευνητές του Proofpoint που εντόπισαν τις καμπάνιες – χρησιμοποίησε φορητά εκτελέσιμα (PE) συνημμένα και κακόβουλες μακροεντολές Microsoft Word για να παραδώσει το κακόβουλο payload.

Το malware που ονομάζεται FlowCloud είναι ένα RAT που δίνει στους χειριστές του TA410 τον απόλυτο έλεγχο των παραβιασμένων συσκευών, καθώς και τη δυνατότητα συλλογής και εξαγωγής πληροφοριών σε servers που ελέγχουν οι ίδιοι.

Στοχευμένες επιθέσεις FlowCloud

Οι καμπάνιες FlowCloud προώθησαν το RAT payload χρησιμοποιώντας συνημμένα PE μεταξύ Ιουλίου και Σεπτεμβρίου 2019 και άλλαξαν σε έγγραφα του Microsoft Word με κακόβουλες μακροεντολές τον Νοέμβριο του 2019.

Τα phishing emails που παραδόθηκαν από τις εκστρατείες phishing του Νοεμβρίου 2019 πλαστοπροσωπούσαν την Αμερικανική Εταιρεία Πολιτικών Μηχανικών (ASCE) και πλαστογράφησαν το domain asce [.] Org.

Για να παραδώσει το RAT payload, η κακόβουλη μακροεντολή των τελεστών TA410 κατέβασε το payload από ένα URL DropBox και αποθήκευσε ένα PE FlowCloud malware με τη μορφή αρχείου .pem ως μεταβλητή “Pense1.txt”.

Οι εισβολείς προσπάθησαν να παρουσιαστούν ως μια άλλη ομάδα hacking, που ονομάζεται TA429 (APT10), συμπεριλαμβάνοντας τη διεύθυνση URL http: //ffca.caibi379 [.] Com / rwjh / qtinfo.txt ως εναλλακτικό download server, μια διεύθυνση URL γνωστή στο κοινό ως malware delivery server APT10.

Τα LookBack και FlowCloud αλληλεπικαλύπτονται

Το Proofpoint λέει ότι υπάρχει μια προφανής αλληλεπικάλυψη με ένα άλλο malware με ένα RAT module που ονομάζεται LookBack, η οποία χρησιμοποιήθηκε επίσης σε παρόμοιες καμπάνιες phear-phishing που στόχευαν παρόχους βοηθητικών υπηρεσιών των ΗΠΑ.

Με βάση τη “χρήση μακροεντολών κοινόχρηστου συνημμένου, τις τεχνικές εγκατάστασης malware και την αλληλεπικαλυπτόμενη υποδομή παράδοσης”, οι ερευνητές του Proofpoint κατέληξαν στο συμπέρασμα ότι οι phishing εκστρατείες μεταξύ Ιουλίου-Νοεμβρίου 2019 που παραδίδουν malware LookBack και FlowCloud μπορούν να αποδοθούν και οι δύο στον TA410.

Για παράδειγμα, ο TA410 άρχισε να χρησιμοποιεί το email του αποστολέα asce [.] Email για να παραδώσει κακόβουλα συνημμένα που κατέβαζαν τα payload FlowCloud, ένα domain που παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2019 ενώ χρησιμοποιείται για την αναγνώριση ως μέρος των καμπανιών του LookBack.

Επιπλέον, η δομή των phishing email του FlowCloud είναι πολύ παρόμοια με αυτήν που χρησιμοποιείται στα email του LookBack που πλαστοπροσωπούσαν το Εθνικό Συμβούλιο Εξεταστών Μηχανικών και Ερευνών των ΗΠΑ (NCEES) και τους παγκόσμιους οργανισμούς πιστοποίησης ενέργειας (GEC) τον Ιούλιο του 2019.

Οι καμπάνιες του TA410 στο LookBack στόχευαν επίσης τους παρόχους βοηθητικών προγραμμάτων των ΗΠΑ μεταξύ 5 Απριλίου και 29 Αυγούστου, ενημερώνοντας τακτικές, τεχνικές και διαδικασίες (TTP) στο μέσο της εναλλαγής από αποτυχημένες ειδοποιήσεις εξετάσεων σε προσκλήσεις για εξετάσεις.

Περισσότερες λεπτομέρειες σχετικά με τις καμπάνιες FlowCloud και μια πλήρης λίστα των IOC, όπως δείγματα malware hashes, IP διευθύνσεις command & control server και phishing domain είναι διαθέσιμες στο τέλος της αναφοράς του Proofpoint.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...