HomesecurityModifiedElephant: the hacking group that went unnoticed for a decade

ModifiedElephant: the hacking group that went unnoticed for a decade

Μια hacking ομάδα, που παρακολουθείται με το όνομα ModifiedElephant, χρησιμοποιεί τακτικές που της επέτρεπαν να λειτουργεί με απόλυτη μυστικότητα εδώ και μια δεκαετία, αφού οι ερευνητές ασφαλείας δεν είχαν καταφέρει να συνδέσουν τις επιθέσεις μαζί τους.

Οι συγκεκριμένοι hackers φαίνεται πως χρησιμοποιούν υπάρχοντα trojans, και μέσω spear-phishing επιθέσεων, target υπερασπιστές ανθρωπίνων δικαιωμάτων, υπερασπιστές της ελευθερίας του λόγου, ακαδημαϊκούς και δικηγόρους στην Ινδία. Αυτές οι επιθέσεις πραγματοποιούνται τουλάχιστον από το 2012.

See also: Microsoft: fixes bug in Defender that allows bypassing malware scans

ModifiedElephant

Τα κακόβουλα emails παραδίδουν keyloggers and remote access trojan (RAT) όπως το NetWire και το DarkComet. Χρησιμοποιούνται ακόμη και για τη διανομή Android malware.

Researchers of the SentinelLabs περιέγραψαν σε μια έκθεση τις τακτικές της hacking ομάδας ModifiedElephant, εξηγώντας πώς πρόσφατα δημοσιευμένα στοιχεία τους βοήθησαν να αποδώσουν προηγούμενες επιθέσεις σε αυτούς τους hackers.

Οι ερευνητές παρατήρησαν σημαντικές ομοιότητες στην υποδομή που χρησιμοποιήθηκε σε πολλαπλές καμπάνιες μεταξύ 2013 και 2019, καθώς και συνέπεια στα malware που αναπτύσσονταν σε αυτές τις καμπάνιες.

Προηγούμενες hacking campaigns

Όπως είπαμε παραπάνω, η ModifiedElephant βασιζόταν σε spear-phishing emails με κακόβουλα συνημμένα για πάνω από μια δεκαετία. Ωστόσο, οι τεχνικές της εξελίσσονταν κατά τη διάρκεια αυτής της περιόδου.

Παρακάτω μπορείτε να δείτε μερικές από τις τεχνικές των hackers:

  • 2013: οι hackers χρησιμοποιούν συνημμένα μέσα σε email με πλαστές διπλές επεκτάσεις (file.pdf.exe) για να εγκαταστήσουν κακόβουλο λογισμικό στα συστήματα των θυμάτων
  • 2015: η ομάδα χρησιμοποιεί συνημμένα RAR που προστατεύονται με κωδικό πρόσβασης που περιέχουν και νόμιμα έγγραφα που καλύπτουν τα σημάδια εκτέλεσης κακόβουλου λογισμικού
  • 2019: η ModifiedElephant αρχίζει να φιλοξενεί malware-dropping sites και να καταχράται υπηρεσίες φιλοξενίας cloud, μεταβαίνοντας από πλαστά έγγραφα σε κακόβουλους συνδέσμους
  • 2020: οι επιτιθέμενοι χρησιμοποιούν αρχεία RAR μεγάλου μεγέθους (300 MB) για να αποφύγουν τον εντοπισμό παρακάμπτοντας τις σαρώσεις

See also: Fake Windows 11 upgrade installers infect you with RedLine malware

Σε πολλές περιπτώσεις, τα συνημμένα έγγραφα αξιοποιούσαν γνωστά exploits για την εκτέλεση κακόβουλου λογισμικού, συμπεριλαμβανομένων των CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 και CVE-2015-1641.

hacking

Όσον αφορά στα θέματα που χρησιμοποιούσαν στα emails για να δελεάσουν τα θύματα, σχετίζονταν με πολιτικά ζητήματα και ήταν προσαρμοσμένα για το κάθε θύμα.

Οι ερευνητές παρατήρησαν ότι η hacking ομάδα ModifiedElephant δεν χρησιμοποιεί (ή δεν το έχουν ανακαλύψει οι ερευνητές) custom backdoors, επομένως δεν φαίνεται να είναι πολύ “εξελιγμένη”.

Τα βασικά malware που αναπτύσσονται στις καμπάνιες της είναι το NetWire and the DarkComet, δύο trojan που επιτρέπουν την απομακρυσμένη πρόσβαση και που είναι δημόσια διαθέσιμα και χρησιμοποιούνται ευρέως από πολλούς εγκληματίες του κυβερνοχώρου.

See also: Russia: third hacking group arrested for stealing credit cards

Also, the Visual Basic keylogger που χρησιμοποιείται από τη ModifiedElephant παραμένει το ίδιο από το 2012 και είναι δωρεάν διαθέσιμο σε hacking forum όλα αυτά τα χρόνια. Η SentinelLabs σχολιάζει την αρχαιότητα του εργαλείου, τονίζοντας ότι δεν λειτουργεί πλέον ούτε σε σύγχρονες εκδόσεις λειτουργικού συστήματος.

The Android malware που χρησιμοποιούν είναι, επίσης, ένα commodity trojan, που παραδίδεται στα θύματα με τη μορφή ενός APK. Οι hackers εξαπατούν τα θύματα να το εγκαταστήσουν μόνοι τους παρουσιάζοντάς το ως μια εφαρμογή ειδήσεων ή ένα ασφαλές εργαλείο ανταλλαγής μηνυμάτων.

Υποστηρίζονται από κάποια κυβέρνηση;

Η SentinelLabs κάνει αρκετούς συσχετισμούς μεταξύ του χρόνου συγκεκριμένων επιθέσεων της ModifiedElephant και της σύλληψης στόχων που ακολούθησαν λίγο αργότερα.

Αυτή η σύμπτωση, σε συνδυασμό με το εύρος στόχευσης, που ευθυγραμμίζεται με τα συμφέροντα του ινδικού κράτους, δημιουργεί μια πολύ πιθανή υπόθεση ότι οι hackers χρηματοδοτούνται από την κυβέρνηση της Ινδίας. Ωστόσο, αυτό δεν είναι εξακριβωμένο.

Πάντως, οι περισσότερες επιθέσεις σε ακτιβιστές και ακαδημαϊκούς δεν έχουν οικονομικό κίνητρο. Επομένως, είναι πιθανό να υπάρχουν πολιτικά κίνητρα πίσω από τις επιθέσεις της ModifiedElephant.

Source: Bleeping Computer

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Subscribe to the Newsletter

* indicates required

FOLLOW US

LIVE NEWS