APT 29 Hacker verwendet ein offensiver Dokument targeting diejenigen mit Interesse an dem im Oktober Lion Air Boeing 737 Absturz, der tötete alle an Bord.Foto: AP
Sicherheitsfirma Palo Alto Networks am Dienstag gab eine neue Warnung vor phishing-Angriffen verbunden mit APT 28, die elite der Russischen Hacker-Gruppe, gebunden an die Wahl 2016 Störungen in den Vereinigten Staaten.
Nach Ansicht der Forscher, ist der Angriff beginnt mit einem einzigen waffenfähigen Dokument, das wiederum ruft schädlichen code über einen E-Mail-basierten Kanal von seinem command und control (C2) – server. Weil der C2-server war Links online, die Forscher waren erfolgreich bei der Erfassung von Proben einer bösartigen makro—code, der ausgeführt wird, einen spezifischen Satz von Befehlen—und nachfolgende malware-payloads.
Das Dokument, an unzähligen Zielen in Nordamerika, Europa, sowie einem ehemaligen sowjetischen Staates, wurde entwickelt, um die Aufmerksamkeit der interessierten in der Lion Air 737 MAX Fluggesellschaft Absturz Ende Oktober, getötet, die alle 189 an Bord. Das Dokument ist mit dem Titel: “crash-Liste(Lion Air Boeing 737).docx.”
Palo Alto Networks identifiziert die erste malware in den Angriff verwendet als Zebrocy, die APT28—auch bekannt als Fancy zu Tragen und Sofacy—bekannt werden, haben in der Vergangenheit verwendet. Die downloader/backdoor implementiert wurde gegen eine Breite Palette von diplomatischen Ziele in der Vergangenheit, ebenfalls verteilt über ein offensiver Dokument (in der Regel Microsoft Word-Datei).
Die Forscher sagen, APT 28 wurde nicht beobachtet, die zuvor über die Bühne-zwei malware, die Sie haben mit dem Codenamen “Kanone” und setzt auch auf E-Mail-basierte C2-Kanal für die Kommunikation mit den Angreifern.
“E-Mail als C2-Kanal ist nicht nur eine neue Taktik, aber es ist in der Regel nicht beobachtet, in der wilden, so oft wie HTTP oder HTTPS,” Palo Alto Networks, sagte in einem blog am Dienstag. “Verwenden von E-Mail als C2-Kanal kann auch verringern die chance der Feststellung, wie das senden von E-Mails über nicht-sanktionierte E-Mail-Anbieter nicht unbedingt konstruieren, verdächtige oder auch bösartige Aktivitäten in vielen Unternehmen.”
Sicherheitsforscher bei FireEye ebenfalls berichtet am Montag neue intrusion-versuche von APT 29, der Kreml-linked Hacker-Gruppe, auch bekannt als “Cozy Bear.” In diesem Fall ist aber der Hacker gab sich als ein US-State Department Mitarbeiter und gezielte think tanks, Rüstungsfirmen und US Militär die Büros, unter anderem.
[Wired, Forbes]
Teilen Sie Diese Geschichte