Il gruppo di hacker APT28, noto anche come Fancy Orso, ha avviato una campagna di attacco globale utilizzando documenti infetti che fanno riferimento ai recenti attacchi terroristici a New York. Il collettivo criminale sta usando una recente vulnerabilità che interessa un componente di prodotti Microsoft Office chiamato DDE (Dynamic Data Exchange).
APT28 Hacker campagna sfrutta le Attacchi NYC Terror
ricercatori di sicurezza informatica hanno scoperto una nuova campagna globale gestito dal gruppo di hacker APt28. Questa collettiva criminale è ampiamente noto per avere una profonda comprensione della sicurezza informatica e ha fatto notizia numerose volte. Uno dei loro più famosi violazioni è un un'intrusione lo scorso anno nel Comitato Nazionale Democratico a seguito delle elezioni presidenziali americane.
Questa volta il gruppo sta usando la strategia di creazione di grandi insiemi di messaggi di posta elettronica che vengono inviati alle vittime. Sono dotati di tattiche di social engineering che manipolano le vittime nella interagire con loro. Fornire documenti o file di interesse per le vittime è uno dei metodi più diffusi e pericolosi di malware istituendo.
Si ritiene che i messaggi possono essere di recente stati inviati al personale militare in Francia o in Germania. Questo si basa su diversi avvistamenti di attività simili da parte del gruppo secondo i rapporti di sicurezza fatte da specialisti che tracciano il loro movimento. Al momento le informazioni disponibili mostrano che gli obiettivi attuali sono gli utenti europei. I ricercatori sottolineano che il documento ut “tema” da una recente campagna di malware si chiama “SabreGuardian” che è un riferimento diretto alle operazioni dell'esercito americano in Europa.
APT28 sembra essere che impiegano la strategia di sfruttare le ultime notizie e le storie che hanno un grande impatto. La campagna che ha le più recenti preoccupazioni utilizza titoli che fanno riferimento ai recenti attacchi terroristici a New York. Il fatto che essi sono stati inviati a persone in Europa dimostra che è possibile che gli hacker fingono di essere una fonte di notizie, informatore o un altro tipo di fornitore.
I ricercatori fanno notare che i messaggi utilizzano vari titoli e gli indirizzi per ingannare gli obiettivi in loro apertura. Sorprendentemente il corpo del testo è vuota e gli obiettivi troverà i documenti di vario tipo collegati direttamente. Essi possono essere sia ricco di documenti di testo, presentazioni, fogli di calcolo o un altro file popolare. Se continuano ulteriormente con l'interazione di un'infezione virale pericolosa segue.
Vulnerabilità APT28 Malware Leverahes Microsoft Office DDE
APT28 utilizza una vecchia caratteristica di Microsoft Office chiamata Dynamic Data Exchange (DESTRA) che è ancora essendo utilizzato da parti della suite. Mentre molte implementazioni tecnologiche più recenti sono diventate lo standard, il modulo DDE è ancora trattenuto e attivo di default anche sulla più recente di Microsoft Office rilascia. E 'stato originariamente utilizzato dalla società per consentire ai propri utenti di effettuare facilmente i dati da un documento all'altro tramite l'iniezione di codice. Questo è un componente molto utile quando si tratta di aggiornare dinamicamente i campi di dati nei documenti situati su una condivisione di rete.
Così conveniente come può sembrare, la funzione DDE può essere facilmente abusato dai criminali per lanciare script e comandi sul computer della vittima. L'anno scorso un altro gruppo criminale utilizzato un attacco DDE che non solo ha provocato un intrusione successo, ma anche bypassato meccanismo di protezione anti-virus. Questo viene fatto attraverso script PowerShell che consentono agli aggressori di eseguire codice arbitrario collocato dagli hacker.
Gli attacchi APT28 vedenti hanno successo anche se le macro sono disabilitate. Il documento primario dannoso che viene inviato agli obiettivi si chiama “IsisAttackInNewYork.docx” e la sua data di creazione è 2017-10-27T22:23:00Da. Una volta che le vittime aprire una serie di comandi pericolosi segue.
- Initial Deployment Malware - La prima azione scarica il malware Seduploader da una postazione remota. Questo è un server di hacker controllato in grado di ospitare un gran numero di minacce che possono essere modificati in modo dinamico a seconda degli obiettivi previsti.
- Il componente pericoloso è uno strumento di ricognizione del primo stadio, che è in grado di estrarre una moltitudine di dati dalle macchine vittima. Profilatura macchine è un passo importante che è in grado di classificare i bersagli dal sistema.
- Ulteriori infezioni malware - A seconda dei risultati e le istruzioni incorporate nelle macchine possono essere infettati con differenti minacce.
A quanto pare il gruppo hacker APT28 sta usando un approccio piuttosto sofisticato combinando una metodologia infezione pervasiva, collaudati trucchi di social engineering e una serie di diversi ceppi di malware a causa dell'intrusione.
Impatto e le conseguenze della Campagna APT28 Malware
Gli hacker APT28 distribuire i file pericolosi mira non solo gli utenti finali, ma il personale anche sensibili. I ricercatori di sicurezza di notare che mentre la campagna corrente è probabilmente di mira gli ufficiali militari in Europa, allo stesso tempo gli attacchi possono essere impiegati contro gli utenti aziendali. Tali strategie sono ampiamente utilizzati nei confronti degli utenti finali, quando l'impianto di forme avanzate di ransomware.
Le conseguenze pericolose che sono legati alle intrusioni fatte è che si ipotizza che le reti sensibili sono stati influenzati. Inoltre il codice dinamico consente agli operatori di hacker a selezionare automaticamente o manualmente il malware più appropriata. In combinazione con il fatto che l'infezione iniziale estrae un sacco di informazioni dettagliate sulla macchina compromessa, così come la rete.
Si consiglia vivamente che tutti gli utenti utilizzano una soluzione di qualità anti-spyware. E 'in grado di rimuovere le infezioni attive di tutti i tipi di virus, Trojan e browser hijacker e cancellarli con pochi clic del mouse.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: