Hackerská skupina „Lone Wolf“ zameraná na Afganistan a Indiu s komoditnými RAT

Nová malvérová kampaň zameraná na Afganistan a Indiu využíva teraz opravenú, 20-ročnú chybu ovplyvňujúcu Microsoft Office na nasadenie radu komoditných trójskych koní pre vzdialený prístup (RAT), ktoré umožňujú protivníkovi získať úplnú kontrolu nad napadnutými koncovými bodmi.

Spoločnosť Cisco Talos pripísala kybernetickú kampaň aktérovi hrozby „osamelého vlka“, ktorý prevádzkuje falošnú IT spoločnosť so sídlom v Lahore s názvom Bunse Technologies ako zásterku na vykonávanie škodlivých aktivít, pričom má tiež históriu zdieľania obsahu, ktorý je v prospech Pakistanu a Talibanu. siahajú až do roku 2016.

Útoky fungujú tak, že využívajú návnadové domény s politickou a vládnou tematikou, ktoré sú hostiteľmi užitočného obsahu škodlivého softvéru, pričom reťazce infekcií využívajú ozbrojené dokumenty RTF a skripty PowerShell, ktoré distribuujú malvér medzi obete. Konkrétne sa zistilo, že prichytené súbory RTF využívajú CVE-2017-11882 na vykonanie príkazu PowerShell, ktorý je zodpovedný za nasadenie dodatočného malvéru na vykonanie prieskumu v počítači.

CVE-2017-11882 sa týka zraniteľnosti týkajúcej sa poškodenia pamäte, ktorá by mohla byť zneužitá na spustenie ľubovoľného kódu Chybu, o ktorej sa predpokladá, že existuje od roku 2000, nakoniec spoločnosť Microsoft vyriešila v rámci svojich aktualizácií Patch Tuesday na november 2017.

Po fáze prieskumu nasleduje podobný reťazec útokov, ktorý využíva vyššie uvedenú zraniteľnosť na spustenie série pokynov, ktoré vyvrcholia inštaláciou komoditného malvéru, ako sú DcRAT a QuasarRAT, ktoré prichádzajú s rôznymi funkciami hneď po vybalení vrátane vzdialených shellov, riadenie procesov, správa súborov, keylogging a krádež poverení, čo si vyžaduje minimálne úsilie zo strany útočníka.

Počas operácie kyberzločinu bol tiež zaznamenaný krádež poverení prehliadača Brave, Microsoft Edge, Mozilla Firefox, Google Chrome, Opera, Opera GX a prehliadač Yandex.

„Táto kampaň je klasickým príkladom individuálneho aktéra, ktorý sa zaoberá hrozbami, využívajúci politické, humanitárne a diplomatické témy v kampani na doručenie komoditného malvéru obetiam,“ uviedli vedci. Komoditné rodiny RAT sú čoraz častejšie využívané skupinami Crimeware aj APT na infikovanie svojich cieľov. Tieto rodiny tiež fungujú ako vynikajúce štartovacie plochy na nasadenie ďalšieho malvéru proti svojim obetiam.“