Ομάδες hacking που υποστηρίζονται από το κράτος εκμεταλλεύονται μια απλή αλλά αποτελεσματική τεχνική για να ενισχύσουν τις εκστρατείες phishing για τη διάδοση malware και την κλοπή πληροφοριών που ενδιαφέρουν τις κυβερνήσεις που τις χρηματοδοτούν.
Δείτε επίσης: Καμπάνια Discord malware στοχεύει κοινότητες crypto και NFT
Ερευνητές κυβερνοασφάλειας στο Proofpoint λένε ότι ομάδες advanced persistent threat (APT) που εργάζονται για λογαριασμό των συμφερόντων της Ρωσίας, της Κίνας και της Ινδίας χρησιμοποιούν rich text format (RTF) template injections.
Ενώ η χρήση συνημμένων RTF text file σε phishing emails δεν είναι νέα, η τεχνική που χρησιμοποιείται από τους χάκερ είναι ευκολότερη και πιο αποτελεσματική επειδή είναι πιο δύσκολο να εντοπιστεί από το antivirus software – και πολλοί οργανισμοί δεν αποκλείουν αρχεία RTF από προεπιλογή επειδή αποτελούν μέρος της καθημερινής επιχειρηματικής λειτουργίας.
Η τεχνική είναι το RTF template injection. Με την αλλαγή των ιδιοτήτων μορφοποίησης εγγράφων ενός αρχείου RTF, είναι δυνατό για τους εισβολείς “να οπλίσουν” ένα αρχείο RTF για να ανακτήσουν απομακρυσμένο περιεχόμενο από μια διεύθυνση URL που ελέγχεται από τους εισβολείς, δίνοντάς τους τη δυνατότητα να ανακτήσουν κρυφά ένα malware payload που εγκαθίσταται στον υπολογιστή του θύματος.
Οι εισβολείς μπορούν να χρησιμοποιήσουν RTF template injections για να ανοίξουν έγγραφα στο Microsoft Word, το οποίο θα χρησιμοποιήσει το κακόβουλο URL για να ανακτήσει το payload, ενώ θα χρησιμοποιήσει και το Word για να εμφανίσει το έγγραφο decoy.
Αυτή η προσέγγιση μπορεί να απαιτεί να παρασύρει τους χρήστες να επιτρέψουν την επεξεργασία ή να επιτρέψουν στο περιεχόμενο να ξεκινήσει τη διαδικασία λήψης του payload, αλλά με τη σωστή μορφή social engineering, το θύμα μπορεί να εξαπατηθεί ώστε να επιτρέψει όλα τα παραπάνω.
Δεν είναι μια πολύπλοκη τεχνική, αλλά επειδή είναι απλή και αξιόπιστη στη χρήση της, έχει γίνει δημοφιλής σε πολλές λειτουργίες nation-state hacking, οι οποίες μπορούν να αναπτύξουν επιθέσεις RTF αντί για άλλες, πιο περίπλοκες επιθέσεις, αφού εξακολουθούν να έχουν τα ίδια αποτελέσματα.
Δείτε επίσης: Νέο JavaScript malware μολύνει Windows PCs με RATs
Παρά τον χαρακτηρισμό “Advanced”, εάν οι φορείς APT κάνουν καλά τη δουλειά τους, θα καταβάλουν τους λιγότερους πόρους και την πολυπλοκότητα που απαιτούνται για να αποκτήσουν πρόσβαση σε οργανισμούς, δήλωσε ο Sherrod DeGrippo, αντιπρόεδρος έρευνας και ανίχνευσης απειλών στην Proofpoint.
Σύμφωνα με ερευνητές, η πιο παλιά γνωστή περίπτωση μιας ομάδας APT που χρησιμοποιούσε earliest σε μια καμπάνια ήταν τον Φεβρουάριο του 2021. Αυτά τα injections πραγματοποιήθηκαν από την DoNot Team, μια ομάδα APT που έχει συνδεθεί με τα κρατικά συμφέροντα της Ινδίας.
Έκτοτε, και άλλες ομάδες APT έχουν αναπτύξει RTF injections ως μέρος των εκστρατειών τους. Για παράδειγμα η ομάδα TA423, επίσης γνωστή ως Leviathan, η οποία είναι μια ομάδα ATP που συνδέεται με την Κίνα, από τον Απρίλιο έχει χρησιμοποιήσει τις επιθέσεις RTF σε πολλές εκστρατείες.
Δείτε επίσης: Οι χάκερ αναπτύσσουν Linux malware σε e-commerce servers
Τον Οκτώβριο, οι ερευνητές εντόπισαν την Gamaredon – μια επιθετική ομάδα hacking που έχει συνδεθεί με τη Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB) που χρησιμοποιεί έγγραφα RTF template injection σε επιθέσεις, τα οποία υποδύονταν το Υπουργείο Άμυνας της Ουκρανίας.
Ενώ μόνο λίγες ομάδες APT έχουν προσπαθήσει να αναπτύξουν επιθέσεις που βασίζονται σε RTF μέχρι στιγμής, οι ερευνητές προειδοποιούν ότι η αποτελεσματικότητα της τεχνικής σε συνδυασμό με την ευκολία χρήσης της είναι πιθανό να οδηγήσει σε περαιτέρω υιοθέτησή της.
Πηγή πληροφοριών: zdnet.com
