APT 29 hackere har anvendt en weaponized dokument, der er rettet mod dem med interesse i oktober ‘ s Lion Air Boeing 737-styrt, som dræbte alle ombord.Foto: AP
Vagtselskab Palo Alto Networks tirsdag udsendt en ny advarsel om phishing-angreb, der er knyttet til APT 28, den russiske elite hacking gruppen, der er bundet til 2016 valg indblanding i Usa.
Ifølge forskere, angreb begynder med et enkelt weaponized dokument, som igen henter ondsindet kode via en e-mail-baseret kanal fra sin command and control (C2) – server. Fordi C2 server var venstre online, forskere var succesfulde i at tage prøver af en skadelig makro—kode, der kører en bestemt sæt af kommandoer—og efterfølgende malware nyttelast.
Det dokument, der sendes til et utal af mål i Nordamerika, Europa, samt en tidligere Sovjetiske stat, var designet til at fange opmærksomheden hos dem, der er interesseret i Lion Air 737 MAX flyselskab krak i slutningen af oktober, som dræbte alle 189 ombord. Dokumentet med titlen: “crash liste(Lion Air Boeing 737).docx.”
Palo Alto Networks, der er identificeret i den første malware, der bruges i angrebet som Zebrocy, som APT28—også kendt som Fancy Bjørn og Sofacy—er kendt for at have brugt tidligere. Den downloader/bagdør har været indsat mod en bred vifte af diplomatiske mål i fortiden, ligeledes spredes ved hjælp af en weaponized dokument (typisk en Microsoft Word-fil).
Forskerne siger, at APT 28 har ikke været observeret tidligere ved hjælp af fase-to malware, som de har med kodenavnet “Kanon” og også bygger på en e-mail-baseret C2-kanal til at kommunikere med de angribere.
“E-mail som en C2-kanal er ikke en ny taktik, men det er generelt ikke observeret i naturen så ofte som HTTP eller HTTPS,” Palo Alto Networks sagde i en blog tirsdag. “Brug e-mail som en C2-kanal kan også mindske risikoen for afsløring, som at sende e-mail via ikke-godkendte e-mail-udbydere kan ikke nødvendigvis opfattes som mistænkelige eller endda skadelig aktivitet i mange virksomheder.”
Sikkerhed forskere på FireEye ligeledes rapporterede mandag den nye forsøg på indtrængen ved at APT 29, Kreml-forbundet hacking gruppen, også kendt som “Hyggelig Bære.” I dette tilfælde er, dog, hackere, stillet som et U. s. State Department medarbejder og målrettet tænketanke, forsvar entreprenører, og det AMERIKANSKE militær kontorer, blandt andre.
[Wired, Forbes]
Dele Denne Historie