Die APT28 Hacking Gruppe, auch als Fancy Bären bekannt, hat eine weltweite Kampagne Angriff mit infizierte Dokumenten eingeleitet, die zu den jüngsten Terroranschlägen in New York finden. Die kriminelle Kollektiv wird mit einer aktuellen Verwundbarkeit eine Komponente von Microsoft Office-Produkte genannt DDE beeinflussen (Dynamic Data Exchange).
APT28 Hacker-Kampagne nutzt die Angriffe NYC Terror
Sicherheitsexperten entdeckten eine neue globale Kampagne, die von der Hacker-Gruppe APt28 betrieben. Diese kriminelle Kollektiv dafür, dass ein sehr tiefes Verständnis von Cyber weithin bekannt und hat Schlagzeilen unzählige Male gemacht. Einer ihrer bekanntesten Verletzungen ist einen einen Einbruch im vergangenen Jahr in der Democratic National Committee nach den amerikanischen Präsidentschaftswahlen.
Dieses Mal ist die Gruppe, die die Strategie der Schaffung von großen Mengen von E-Mail verwendet, die an die Opfer gesendet werden. Sie verfügen über soziale Taktik Technik, die die Opfer in der Interaktion mit ihnen manipulieren. Bereitstellung von Dokumenten oder Dateien von Interesse für die Opfer ist eines der am weitesten verbreiteten und gefährlichen Methoden zur Einführung von Malware.
Es wird angenommen, dass die Nachrichten vor kurzem an Soldaten in Frankreich oder Deutschland geschickt worden sein können. Dies beruht auf mehreren Sichtungen ähnlicher Aktivität durch die Gruppe nach Sicherheitsberichte von Spezialisten durchgeführt, die ihre Bewegung verfolgen. Im Moment zeigt die verfügbaren Informationen, dass die aktuellen Ziele sind die europäischen Nutzer. Die Forscher weisen ut, dass das Dokument “Thema” aus einer aktuellen Malware wird Kampagne mit dem Titel “SabreGuardian” was ist ein direkter Bezug auf Operationen der amerikanischen Armee in Europa.
APT28 scheint die Strategie von Vorteil unter Verwendung von zu Nachrichten und Geschichten zu brechen, die eine große Wirkung haben. Die Kampagne, die die neuesten Bedenken hat nutzt Titel, die zu den jüngsten Terroranschlägen in New York City finden. Die Tatsache, dass sie für die Menschen in Europa gesendet wurden zeigt, dass es möglich ist, dass der Hacker behauptet, eine Nachrichtenquelle zu sein, Informanten oder eine andere Art von Anbieter.
Die Forscher merken, dass die Nachrichten verschiedene Titel und Adressen verwenden, um die Ziele zu öffnen, sie zu täuschen. Überraschenderweise ist der Text ist leer, und die Ziele werden direkt angehängten Dokumente unterschiedlicher Typen finden. Sie können entweder Rich-Text-Dokumente sein, Präsentationen, Tabellen oder eine andere populäre Datei. Wenn sie weiter mit Interaktion weiter folgt eine gefährliche Virusinfektion.
APT28 Malware Leverahes Microsoft Office DDE Vulnerability
APT28 verwendet ein altes Feature Microsoft Office genannt Dynamic Data Exchange (RECHTS) die noch durch Teile der Suite genutzt. Während viele neuere Technologie-Implementierungen haben, da die Standard geworden, das DDE-Modul ist nach wie vor beibehalten und standardmäßig aktiv, auch auf dem neueren Microsoft Office-Versionen. Es wurde ursprünglich von der Firma verwendet worden, seine Benutzer auf einfache Weise zu ermöglichen, Daten legen von einem Dokument zu einem anderen über Code-Injektion. Dies ist eine sehr nützliche Komponente, wenn es darum geht, auf einer Netzwerkfreigabe, um dynamisch zu aktualisieren Datenfelder in Dokumenten.
So bequem wie es klingen mag, die DDE-Funktion kann leicht von den Kriminellen missbraucht werden Skripte zu starten und Befehle auf dem Opfer-Computer. Im vergangenen Jahr verwendete eine andere kriminelle Gruppe einen DDE-Angriff, der nicht nur in einem erfolgreichen Einbruch in Folge, aber umgangen auch Anti-Viren-Schutz-Mechanismus. Dies wird durch Powershell-Skripts durchgeführt, die die Angreifer ermöglichen, beliebigen Code von den Hackern platziert auszuführen.
Die gesichteten APT28 Angriffe sind erfolgreich, auch wenn die Makros sind deaktiviert. Das primäre bösartige Dokument, das zu den Zielen gesendet wird aufgerufen “IsisAttackInNewYork.docx” und das Datum der Schöpfung 2017-10-27T22:23:00Von. Sobald die Opfer öffnet es eine Reihe von gefährlichen Befehlen folgt.
- Anfängliche Malware Deployment - Die erste Aktion lädt den Seduploader Malware von einem entfernten Standort aus. Dies ist ein Hacker-kontrollierten Server, der eine Vielzahl von Bedrohungen aufnehmen kann, die dynamisch in Abhängigkeit von den angestrebten Zielen verändert werden können,.
- Die gefährliche Komponente ist ein erste Stufe reconnaissance Werkzeug, das eine Vielzahl von Daten von den Opfer-Maschinen zu extrahieren, ist in der Lage. die Maschinen Profilierungs ist ein wichtiger Schritt, der die Ziele durch das System zum Kategorisieren der Lage ist,.
- Weitere Malware-Infektion - In Abhängigkeit von den Ergebnissen und den eingebauten Befehlen können die Maschinen mit verschiedenen Bedrohungen infiziert werden.
Wie es scheint, die APT28 Hacker-Gruppe einen recht komplizierten Ansatz verwendet, indem eine pervasive Infektion Methodik kombiniert, bewährte Social-Engineering-Tricks und eine Reihe von verschiedenen Malware-Stämmen als Folge des Eindringens.
Auswirkungen und Folgen der APT28 Malware-Kampagne
Der APT28 Hacker verteilt die gefährlichen Dateien Targeting nicht nur Endnutzern, aber auch sensible Personal. Die Sicherheitsexperten beachten Sie, dass, während die aktuelle Kampagne ist wahrscheinlich die Angriffe Militärs in Europa bei gleichzeitig gezielt gegen Nutzer in einem Unternehmen eingesetzt werden. Solche Strategien sind gegen Endanwendern weit verbreitet, wenn fortgeschrittene Formen von Ransomware Implantieren.
Die gefährlichen Folgen, die zu den getroffenen Intrusionen verbunden sind, ist, dass es es wird spekuliert, dass sensible Netzwerke negativ verändert haben. Darüber hinaus ist der dynamische Code ermöglicht den Hacker Betreiber entweder automatisch oder manuell den am besten geeignete Auswahl von Malware. viele detaillierte Informationen über das kompromittierte Maschine kombiniert mit der Tatsache, dass die anfängliche Infektion extrahiert, sowie das Netzwerk.
Wir empfehlen dringend, dass alle Benutzer eine qualitativ hochwertige Anti-Spyware-Lösung einsetzen. Es ist in der Lage aktive Infektionen aller Arten von Viren zu entfernen, Trojaner und Browser-Hijackern und löschen Sie sie über ein paar Mausklicks.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: