Organisaties erin geluisd door grappige chimpansee

In een rapport van Kaspersky Labs wordt beschreven hoe een nieuwe, geavanceerde cyberspionagecampagne malware gebruikt om zeer specifieke, gereputeerde entiteiten aan te vallen.
De malware was onder andere gericht op het Witte Huis in de VS en overheidsorganisaties en commerciële organisaties in Duitsland, Zuid-Korea en Oezbekistan.

Naast het feit dat de dreigingsfactor zich zeer precies richtte op bijzonder in het oog lopende slachtoffers, vertoont het ook kenmerken waarbij de code zoekt naar de aanwezigheid van verschillende beveiligingsproducten in een poging om deze te ontwijken.

De veiligheidsdeskundigen ontdekten in deze toolset sterk kwaadaardige programmafunctionaliteit, evenals structurele gelijkenissen die overeenkomen met de MiniDuke, CosmicDuke en OnionDuke cyberspionagecampagnes. Operaties waarvan men veronderstelt dat deze worden beheerd door Russischtalige auteurs en nog steeds actief zijn en zich richten op diplomatieke organisaties/ambassades, energie-, olie- en gasbedrijven, telecombedrijven, defensie en academische/onderzoeksinstellingen in een aantal landen.

monkey malwareDe CozyDuke-actor stuurt vaak spearphishing e-mails naar doelwitten met daarin bijv. een link naar een gehackte website of nep flash-video’s waarin schadelijke uitvoerbare bestanden zijn opgenomen als e-mailbijlagen. Een voorbeeld hiervan is de “Office Monkeys LOL Video.zip”. Het zip-bestand bevat een Flash-video van een paar apen in een kantoor. Bij het bekijken wordt in de achtergrond tegelijkertijd geraffineerde malware geïnstalleerd.

CozyDuke maakt gebruik van een backdoor en een dropper. Het schadelijke programma stuurt informatie over het doelwit naar de command & control server en haalt configuratiebestanden en aanvullende modules op die eventuele extra functionaliteit implementeren die de aanvallers nodig hebben.

Behalve de gangbare tips zoals het updaten van software wordt er in het rapport gewaarschuwd voor ZIP-archieven die SFX-bestanden bevatten. Ook is het verstandig om bijlagen bij twijfel te openen in een sandbox.

Gedeeld

Geef een reactie