Σύμφωνα με την Check Point, η APT ομάδα πίσω από την hacking επιχείρηση Dark Caracal επέστρεψε. Οι ερευνητές ασφαλείας της εταιρείας αποκάλυψαν μια νέα σειρά επιθέσεων εναντίον πολλών βιομηχανιών.
Η επιχείρηση Dark Caracal πραγματοποιήθηκε από μια APT ομάδα που συνδέεται με το Λίβανο και τώρα έχει επιστρέψει με νέες επιθέσεις στις οποίες χρησιμοποιεί μια νέα έκδοση ενός backdoor Trojan, που χρησιμοποιείται εδώ και 13 χρόνια και έχει ονομαστεί Bandook.
Το Bandook εντοπίστηκε τελευταία φορά σε hacking εκστρατείες του 2015 και του 2017. Λέγεται ότι το backdoor Trojan έχει δημιουργηθεί από κάποιον hacker, ο οποίος το πουλά σε διάφορες APT ομάδες.
Σύμφωνα με την έκθεση της Check Point, κατά τη διάρκεια του περασμένου έτους, δεκάδες παραλλαγές αυτού του malware άρχισαν να επανεμφανίζονται στο τοπίο απειλών.
“Στο τελευταίο κύμα επιθέσεων, εντοπίσαμε και πάλι μια ασυνήθιστα μεγάλη ποικιλία στους τομείς και τις τοποθεσίες που στοχεύει το malware. Αυτό ενισχύει περαιτέρω την προηγούμενη υπόθεση ότι το κακόβουλο λογισμικό δεν χρησιμοποιείται από μία οντότητα, αλλά πωλείται από τρίτο μέρος σε κυβερνήσεις και hackers σε όλο τον κόσμο, για τη διευκόλυνση επιθέσεων“.
Στις πρόσφατες επιθέσεις της, η APT ομάδα πίσω από την Dark Caracal έχει στοχεύσει διάφορους τομείς, όπως κυβερνήσεις, εταιρείες οικονομικών, εταιρείες ενέργειας, βιομηχανία τροφίμων, υγειονομική περίθαλψη, εκπαίδευση, πληροφορική και νομικά ιδρύματα.
Τα περισσότερα θύματα της ομάδας εδρεύουν στη Σιγκαπούρη, την Κύπρο, τη Χιλή, την Ιταλία, τις ΗΠΑ, την Τουρκία, την Ελβετία, την Ινδονησία και τη Γερμανία.
Η διαδικασία μόλυνσης γίνεται συνήθως σε τρία στάδια:
Το πρώτο στάδιο χρησιμοποιεί ένα έγγραφο του Word (π.χ. “Certified documents.docx”) που παραδίδεται μέσα σε ένα αρχείο ZIP. Με το άνοιγμα του αρχείου, ενεργοποιούνται κακόβουλες μακροεντολές, οι οποίες στη συνέχεια κατεβάζουν και εκτελούν ένα PowerShell script (δεύτερο στάδιο) κρυπτογραφημένο μέσα στο αρχικό έγγραφο.
Στο τελικό στάδιο της επίθεσης, το PowerShell script κατεβάζει κωδικοποιημένα εκτελέσιμα από νόμιμες υπηρεσίες αποθήκευσης cloud, όπως το Dropbox ή το Bitbucket, και στη συνέχεια κατεβάζει το Bandook loader, το οποίο εισάγει το RAT σε μια νέα διαδικασία του Internet Explorer.
Το Bandook RAT είναι διαθέσιμο σε underground forums από το 2007 και υποστηρίζει συνηθισμένες backdoor εντολές, συμπεριλαμβανομένης της λήψης screenshots και της εκτέλεσης διαφόρων λειτουργιών που σχετίζονται με αρχεία.
Οι ερευνητές της Check Point παρατήρησαν ότι η νέα παραλλαγή του Bandook είναι μια “αδύναμη έκδοση” που υποστηρίζει μόνο 11 από τις 120 εντολές. Αυτό σημαίνει ότι οι hackers προσπαθούν να μην τραβήξουν την προσοχή.
Οι ειδικοί παρατήρησαν διάφορα δείγματα του κακόβουλου λογισμικού που είχαν υπογραφεί ψηφιακά με έγκυρα πιστοποιητικά που εκδόθηκαν από την Certum.
“Μερικά από τα χαρακτηριστικά και τις ομοιότητες αυτής της καμπάνιας με προηγούμενες καμπάνιες μάς οδηγούν στο συμπέρασμα ότι η δραστηριότητα που περιγράφουμε σε αυτήν την έκθεση είναι πράγματι η συνέχεια και η εξέλιξη της υποδομής που χρησιμοποιήθηκε για την επιχείρηση Dark Caracal“:
- Η χρήση του ίδιου παρόχου πιστοποιητικών (Certum) σε όλες τις εκστρατείες.
- Η χρήση του Bandook Trojan.
- Ίδια χαρακτηριστικά στις στοχευμένες επιθέσεις.
“Όλα τα στοιχεία υποστηρίζουν την πεποίθησή μας ότι οι μυστηριώδεις χειριστές πίσω από την κακόβουλη υποδομή της Dark Caracal είναι ακόμα ζωντανοί και λειτουργικοί“, κατέληξαν οι ερευνητές.
Πηγή: Security Affairs