Nieuwe hack-campagne richt zich op overheden wereldwijd

Beveiligingsonderzoekers van Unit 42 van Palo Alto Networks hebben een nieuwe hack-campagne gevonden die zich richt op overheidsorganisaties over de gehele wereld. De campagne is van de Sofacy Group en gebruikt een serie aan bewapende documenten, meldt Silicon Angle.

Overheidsinstanties wereldwijd worden aangevallen door de hackgroep. Het gaat onder meer om instanties in de Verenigde Staten, Europa en het voormalige Oostblok.

De bewapende documenten werden voor het eerst in oktober gedetecteerd. De documenten laden remote templates met een malafide macro. Dit gaat meestal via een Microsoft Word-document. Zodra de macro geopend is, downloadt de macro malafide payloads, zoals de Zebrocy Trojan. Die trojan werd eerder al aan de Sofacy Group gelinkt. Ook wordt een nieuw geïdentificeerde trojan gedownload, die Cannon genoemd wordt.

Een van de documenten gebruikt de naam “crash list (Lion Air Boeing 737).docx”. Die naam refereert naar de crash van een Lion Air Flight 610, die buiten het Indonesische Jakarta neerstortte op 29 oktober. “Dit is niet de eerste keer dat een dergelijke groepering recente gebeurtenissen gebruikt als lokmateriaal, maar het is interessant om te zien dat deze groep probeert de aandacht van een catastrofaal incident te misbruiken om hun aanval uit te voeren”, aldus de onderzoekers.

Een ander document lijkt een overheidsinstantie die met buitenlandse zaken in Europa omgaat als doelwit te hebben. Dit document wordt verspreid via spear-phishing, waarbij e-mails worden verstuurd uit naam van een bekende om mensen zo ver te krijgen om geheime informatie te onthullen. Zodra de gebruiker probeert het document te openen, probeert Word direct een remote template met een malafide macro en een payload van een locatie gespecificeerd in het script te laden.

Malware

Zodra de Zebrocy Trojan geïnstalleerd is, verzameld het specifieke informatie over het systeem. Die informatie verstuurt het naar de command-and-server via een HTTP Post-verzoek naar een vooraf opgegeven URL. Net als andere Zebrocy-malware maakt de trojan ook een screenshot van het slachtoffer als een JPG-afbeelding.

Cannon, de tweede trojan, werkt vooral als downloader die afhankelijk is van e-mails om te communiceren tussen de trojan en de C&C-server. “Het algemene doel van Cannon is om diverse e-mailaccounts te gebruiken om de informatie naar de aanvallers te sturen en uiteindelijk een payload te krijgen uit een e-mail van de aanvallers.”

De payload is op zo’n manier ontworpen dat het moeilijk is om hem te detecteren. De onderzoekers stellen daarom dat het belangrijk is voor de organisaties om vooraf maatregelen te nemen om de kans op datadiefstal te minimaliseren.