Íránští hackeři zacílili na amerického vládního vendora pomocí malwaru

security

Skupina APT34 byla zaznamenána v malwarové kampani zaměřené na zákazníky a zaměstnance společnosti, která úzce spolupracuje s federálními agenturami USA a státními a místními vládami.

Íránská skupina APT34 zasílá cílené škodlivé e-mailové přílohy zákazníkům a zaměstnancům společnosti, která úzce spolupracuje s vládními agenturami USA.

Jedná se o americkou společnost Westat se sídlem v USA, která poskytuje služby v oblasti výzkumu americkým státním a místním vládám a více než 80 federálním agenturám. Vědci z Intezeru odhalili kampaň poté, co v lednu zjistili škodlivý soubor (nazvaný survey.xls), který je údajně průzkumem spokojenosti zaměstnanců pro zaměstnance a zákazníky společnosti Westat.

E-maily obsahují tabulky Excel, které, jakmile se stáhnou, se nejprve zdají být prázdné, ale podle analýzy poté, co oběti povolí makra v tabulce, se objeví průzkum a ptá se, zda jsou oběti spokojeny příležitostmi k rozvoji kariéry a školením souvisejícím s prací – ale na pozadí, aniž by jim bylo známo, je spuštěn škodlivý programovací kód jazyka Visual Basic for Applications (VBA) pro makro.

Tento kód rozbalí soubor .ZIP do dočasné složky a poté extrahuje a nainstaluje spustitelný soubor, který je spuštěn pět minut po infikování systému. Jedná se o malware TONEDEAF, což je backdoor schopný shromažďovat systémové informace, nahrávat a stahovat soubory a provádět libovolné příkazy shellu.

Vědci propojili tuto kampaň s íránským APT34, a.k.a. OilRig nebo Greenbug, který se specializuje na kybernetickou špionáž, a je známý útoky zaměřenými na různé organizace působící na Středním východě, včetně finančních, energetických a vládních subjektů. APT34 používá modifikovanou variantu malwaru, která je pokročilejší než předchozí a která má novou tajnou taktiku.

TONEDEAF 2.0, jak vědci malware nazývají, slouží stejnému účelu jako původní malware, jeho kód se však výrazně změnil a přichází s vyvinutými schopnostmi detekce.

„Na rozdíl od původního TONEDEAF obsahuje TONEDEAF 2.0 výhradně svévolné možnosti spuštění shellu a nepodporuje žádné předdefinované příkazy. Je také tajnější a obsahuje nové triky, jako je dynamický import, dekódování řetězců a metodu podvodu oběti “.

Zdroj: treatpost.com

Napsat komentář