Ερευνητές
ασφαλείας
αποκάλυψαν μια εξελιγμένη παγκόσμια εκστρατεία ηλεκτρονικού ψαρέματος (
phishing
) που διασπείρει τρεις νέες οικογένειες malware, οι οποίες εμφανίστηκαν τον περασμένο Δεκέμβριο.
Η Mandiant παρατήρησε δύο κύματα της
phishing
εκστρατείας η οποία ξεκίνησε στις 2 Δεκεμβρίου και είχε στόχο σχεδόν 50 οργανισμούς σε όλο τον κόσμο.
Η απειλητική ομάδα με τα οικονομικά κίνητρα αναφέρεται ως UNC2529
.
“
Με βάση την αξιοσημείωτη υποδομή που χρησιμοποιήθηκε, τα προσαρμοσμένα ψεύτικα θέλγητρα και την επαγγελματικά κωδικοποιημένη εξειδίκευση του malware, αυτός ο απειλητικός παράγοντας φαίνεται έμπειρος
”, σημείωσε η Mandiant.
Η ομάδα φαίνεται να έχει πάρει το χρόνο της για να δημιουργήσει τα email, ώστε να φαίνονται
νόμιμα
τα οποία στάλθηκαν σε μεμονωμένους παραλήπτες. Επίσης χρησιμοποίησε δεκάδες domain για να υποστηρίξει τις προσπάθειές της.
Τα τρία νέα στελέχη malware που προσδιορίστηκαν από την Mandiant έχουν ονομαστεί “
Doubledrag
”, “
Doubledrop
” και “
Doubleback
”. Η ομάδα UNC2529 προφανώς χρησιμοποίησε τεχνικές heavy obfuscation και malware για να τα κρατήσει κρυμμένα.
Το
Doubledrag
είναι ένα πολύ ασαφές
πρόγραμμα
λήψης JavaScript. Το
Doubledrop
είναι ένα memory-only dropper δεύτερου σταδίου που περιέχει ένα script PowerShell που κάνει launch ένα backdoor στη μνήμη. Αυτό το backdoor είναι το
Doubleback
.
Η
phishing
καμπάνια στοχεύει κυρίως αμερικανικές οργανώσεις – αντιπροσωπεύοντας το 74% των θυμάτων στην πρώτη φάση και το 68% στη δεύτερη – αλλά ορισμένοι στόχοι βρίσκονται και στις περιοχές EMEA (
Ευρώπη
, Μέση Ανατολή και Αφρική) και APAC (Ανατολική Ασία, Νότια Ασία, Νοτιοανατολική Ασία και Ωκεανία).
Δυστυχώς, το Doubleback κρίθηκε από την Mandiant ως “έργο σε εξέλιξη” και πιθανότατα θα χρησιμοποιηθεί ξανά σε μελλοντικές
εκστρατείες
της UNC2529.
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.