Η ερευνητική εργασία που βρίσκεται σε εξέλιξη και δρομολογήθηκε από την ομάδα Rocket Κittens, η οποία αποτελεί μια απ’ τις μεγαλύτερες απειλές του διαδικτύου, απαρτίζεται από δύο καμπάνιες ενδεικτικές για τις εξελισσόμενες ικανότητες της ομάδας.
Η πρώτη απ’ αυτές τις καμπάνιες έχει ήδη αποκαλυφθεί στο 31C3 από τον Tillman Werner και τον Gadi Evron. Αυτή η καμπάνια, ξεκίνησε παραδοσιακά μέσω spear phising e-mails, που χρησιμοποιούν τεχνικές social engineering ώστε να δελεάσουν στοχευμένους χρήστες να ανοίξουν ένα αρχείο του Microsoft Office.
Mόλις ανοιχτεί το αρχείο, ζητείται από τον χρήστη να επιτρέψει μακροεντολές για να δει το περιεχόμενο. Αν ο χρήστης το κάνει, εμφανίζεται ένα αρχείο-δόλωμα, όσο ο υπολογιστής του στο background προσβάλλεται από το κακόβουλο λογισμικό GHOLE, επιτρέποντας στους Rocket Κittens να αποκτήσουν απομακρυσμένη πρόσβαση στον υπολογιστή του και να εισχωρήσουν μέσα στο εταιρικό δίκτυο του στόχου.
Παρότι η τεχνική αυτή πιάνει στους ανυποψίαστους χρήστες, η οπτική του επιτιθέμενου διαφέρει, εκεί τα πράγματα είναι κάπως απογοητευτικά, καθώς απαιτείται η αλληλεπίδραση του χρήστη για να πετύχει το σχέδιο.
Μάλλον αυτός είναι και ο λόγος που οι attackers ξεκίνησαν την νέα καμπάνια υπό τον τίτλο “Operation Woolen-Goldfish“, η οποία παρουσιάζει μια σημαντική βελτίωση όσον αφορά το TTP (Tactics, Techniques, and Procedures) που αναπτύσσονται από το Rocket Κittens.
Αρχικά, το περιεχόμενο του spear phising έχει βελτιωθεί, έχουμε δει στο παρελθόν ξανά τους Rocket Κittens να καταχράται ταυτότητες σπουδαίων προσωπικοτήτων του Ισραήλ και να χρησιμοποιεί αποκλειστικό περιεχόμενο, φτιαγμένο απ’ αυτά τα προφίλ σαν αρχείο-δόλωμα.
Μια επιπλέον αλλαγή, αφορά και το σχέδιο της παραβίασης, τα spear phising e-mails περιέχουν ένα link σε site, αποθηκευμένο σε μια δωρεάν online υπηρεσία. Το αποθηκευμένο αρχείο είναι συμπιεσμένο και περιέχει ένα εκτελέσιμο αρχείο που υποτίθεται πως είναι έγγραφο Power Point.
Απ’ τη στιγμή που θα πατηθεί αυτό το εκτελέσιμο, προσβάλλει τον στόχο με ένα ολοκαίνουργιο κακόβουλο λογισμικό, το TSPY_WOOLERG.A που δημιούργησε το μέλος του group wool3n.h4t, που ήταν ήδη ενεργό και στην πρώτη καμπάνια.
Η τελευταία καμπάνια, όπως και η προηγούμενη, δείχνει πως οι στόχοι σχετίζονται ιδιαίτερα με την Ισλαμική Δημοκρατία του Ιράν. Αν και τα κίνητρα πίσω από τις επιθέσεις μπορεί να διαφέρουν, το τελικό αποτέλεσμα είναι το ίδιο: μεταβολή του ελέγχου της εξουσίας είτε πολιτικά είτε οικονομικά.
