De APT28 hacken groep, ook wel bekend als Fancy Bear, heeft een wereldwijde aanval campagne met behulp van geïnfecteerde documenten die verwijzen naar de recente terreur aanslagen in New York gestart. De strafrechtelijke collectief gebruikt een recente kwetsbaarheid van invloed zijn een onderdeel van Microsoft Office-producten genoemd DDE (Dynamic Data Exchange).
APT28 Hacker campagne maakt gebruik van de NYC Terror Attacks
Computer beveiliging onderzoekers ontdekt een nieuwe wereldwijde campagne die door de APt28 hacken groep. Deze crimineel collectieve staat bekend om het hebben van een zeer diep begrip van de cyberveiligheid en heeft krantenkoppen vele malen gemaakt. Een van hun meest bekende inbreuken is een een inbraak vorig jaar in de Democratische Nationale Comite na de Amerikaanse presidentsverkiezingen.
Dit keer is de groep met behulp van de strategie van het creëren van grote sets van e-mailberichten die aan de slachtoffers worden verzonden. Ze zijn voorzien van social engineering tactiek die de slachtoffers te manipuleren om interactie met hen. Het verstrekken van documenten of bestanden van belang zijn voor de slachtoffers is een van de meest gebruikte en gevaarlijke methoden voor het instellen van malware.
Er wordt aangenomen dat de berichten kunnen zijn onlangs aan militairen in Frankrijk of Duitsland verstuurd. Dit is gebaseerd op verschillende waarnemingen van soortgelijke activiteit van de combinatie volgens beveiligingsrapporten gedaan door specialisten op hun positie te volgen. Op dit moment toont de beschikbare informatie dat de huidige doelstellingen zijn de Europese gebruikers. De onderzoekers wijzen ut dat het document “thema” uit een recente malware campagne heet “SabreGuardian” dat is een directe verwijzing naar activiteiten van het Amerikaanse leger in Europa.
APT28 lijkt te worden in dienst van de strategie om te profiteren van het laatste nieuws en verhalen die een grote invloed hebben. De campagne die de meest recente bezorgdheid heeft gebruikt titels die verwijzen naar de recente terreur aanslagen in New York City. Het feit dat ze hebben de mensen in Europa gestuurd laat zien dat het mogelijk is dat de hackers doen alsof ze een nieuwsbron te zijn, melder of een ander type provider.
De onderzoekers constateren dat de berichten die gebruik maken van verschillende titels en adressen aan de doelstellingen gek te houden, ze te openen. Verrassenderwijs de hoofdtekst is leeg en de doelen documenten met verschillende types direct gebonden voorbeeld. Ze kunnen zowel rijke tekstdocumenten, presentaties, spreadsheets of een andere populaire bestandsformaten. Als ze verder gaan met de interactie van een gevaarlijke virale infectie volgt.
APT28 Malware Leverahes Microsoft Office DDE Vulnerability
APT28 maakt gebruik van een oude Microsoft Office functie genaamd Dynamic Data Exchange (RIGHT) die nog steeds wordt gebruikt door delen van de suite. Terwijl veel nieuwere technologie implementaties, aangezien de standaard zijn geworden, de DDE module wordt nog steeds vastgehouden en standaard actief, zelfs op de nieuwe Microsoft Office releases. Het is oorspronkelijk gebruikt door het bedrijf, zodat de gebruikers eenvoudig gegevens te plaatsen van het ene document naar het andere via code-injectie. Dit is een zeer nuttig onderdeel als het gaat om dynamisch updaten van gegevens velden in de documenten zich op een netwerkshare.
Zo gemakkelijk als het klinkt, de functie DDE kan gemakkelijk worden misbruikt door criminelen om scripts te starten en opdrachten op het slachtoffer computer. Vorig jaar nog een criminele groep gebruik gemaakt van een DDE-aanval die niet alleen geleid tot een succesvolle inbraak, maar ook omzeild anti-virus beschermingsmechanisme. Dit gebeurt via PowerShell scripts waarmee de aanvallers willekeurige code geschreven door hackers te voeren.
De slechtziende APT28 aanvallen succesvol zijn, zelfs als de macro's zijn uitgeschakeld. De primaire kwaadaardige document worden de doelstellingen wordt verzonden heet “IsisAttackInNewYork.docx” en de datum van de schepping is 2017-10-27T22:23:00Uit. Zodra de slachtoffers openen van een reeks gevaarlijke opdrachten volgt.
- Initial Malware Deployment - De eerste actie downloadt de Seduploader malware op afstand. Dit is een hacker gecontroleerde server die vele bedreigingen die dynamisch kan worden gewijzigd, afhankelijk van de beoogde doelen kan hosten.
- De gevaarlijke component is een eerste fase verkenning tool die in staat is om een veelheid aan gegevens te extraheren uit het slachtoffer machines. Profileren van de machines is een belangrijke stap die in staat is de doelstellingen categoriseren van het systeem.
- Verdere Malware Infectie - Afhankelijk van de resultaten en de ingebouwde instructies van de machines kunnen worden geïnfecteerd met verschillende bedreigingen.
Als het lijkt de APT28 hacken groep is met behulp van een tamelijk verfijnde aanpak door het combineren van een doordringende infectie methodologie, bewezen social engineering trucs en een scala van verschillende malware stammen als gevolg van de inbraak.
Impact en gevolgen van de APT28 Malware Campaign
De APT28 hackers verdelen de gevaarlijke bestanden targeting niet alleen eindgebruikers, maar ook gevoelig personeel. De security onderzoekers constateren dat, terwijl de huidige campagne waarschijnlijk militaire officieren in Europa is gericht op hetzelfde moment de aanvallen kan gebruikt worden tegen zakelijke gebruikers. Dergelijke strategieën worden op grote schaal gebruikt tegen eindgebruikers bij het implanteren van geavanceerde vormen van ransomware.
De gevaarlijke gevolgen die gerelateerd zijn aan de gemaakte inbraken is dat het wordt gespeculeerd dat gevoelige netwerken werden beïnvloed. Verder is de dynamische code staat voor de hacker exploitanten om automatisch of handmatig selecteren van de meest geschikte malware. Gecombineerd met het feit dat de eerste infectie onttrekt veel gedetailleerde informatie op de besmette machine, evenals het netwerk.
We raden alle gebruikers gebruik maken van een kwaliteit anti-spyware oplossing. Het is in staat om actieve infecties van alle soorten virussen te verwijderen, Trojaanse paarden en browser hijackers en verwijder ze via een paar muisklikken.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter