Odborníci Kaspersky Lab odhalili rad pokusov o infikovanie zahraničných diplomatických subjektov v Iráne. Útočníci na to použili svoj vlastný spyware a aktualizovanú verziu Remexi backdooru. V rámci kampane taktiež použili niekoľko legitímnych nástrojov. Prítomnosť Remexi backdooru poukazuje na perzsky hovoriacu kyberšpionážnu skupinu známu pod menom Chafer. Tá je spájaná s kybernetickým sledovaním jednotlivcom z územia Blízkeho východu. Skutočnosť, že skupina sa najnovšie zameriava na ambasády, poukazuje na jej preorientovanie.
Najnovšie sledované aktivity dodávajú celkový obraz kyberzločineckých akcií v tomto regióne. Hackeri sa snažia využívať pomerne jednoduché malvéry domácej výroby, ktoré dopĺňajú o verejne dostupné nástroje. V tomto prípade sme tak mohli sledovať vylepšenú verziu Remexi backdooru, nástroja, ktorý umožňuje vzdialené ovládanie napadnutého zariadenia.
Remexi bol prvýkrát zaznamenaný v roku 2015, kedy ho použila skupina Chafer na kybernetické sledovanie individuálnych používateľov a menšieho počtu organizácií na Blízkom východe. Odborníci z Kaspersky Lab sú do značnej miery presvedčení o tom, že pôvodcovia súčasných útokov pochádzajú zo skupiny Chafer. Backdoor použitý v tejto kampani má totižto výrazné podobnosti v kódovaní s Remexi.
Novoobjavený Remexi malvér je schopný vykonávať príkazy na diaľku a získať tak z napadnutého počítača screenshoty, dáta z prehliadača vrátane prihlasovacích údajov, históriu vyhľadávania a akýkoľvek písaný text. Ukradnuté dáta následne útočníci dostanú z používateľovho zariadenia vďaka legitímnej aplikácii Microsoft Background Intelligent Transfer Service (BITS), čo je doplnok Windowsu, ktorý umožňuje prevádzať aktualizácie na pozadí. Tento trend kombinovania malvéru s privlastneným alebo legitímnym kódom im pomáha šetriť čas aj peniaze, a navyše sťažuje ich odhalenie.
Tip redakcie: Hackeri útočili na banky vo východnej Európe – Ako sa brániť?
„Keď hovoríme o štátom riadených kyberšpionážnych kampaniach, väčšine ľudí napadnú pokročilé operácie s komplexnými nástrojmi, ktoré vyvinuli počítačoví odborníci. Ľudia zodpovední za tento útok sú však s najväčšou pravdepodobnosťou systémoví administrátori, ktorí vedia programovať. Ich kampaň totižto omnoho viac závisí od kreatívneho použitia už existujúcich nástrojov, než od nových, naprogramovaných, pokročilých programoch. Viac-menej aj relatívne jednoduché nástroje môžu spôsobiť výrazné škody,”
– varuje Denis Legezo, bezpečnostný odborník zo spoločnosti Kaspersky Lab.
Čo čítať ďalej?
Dvadsaťročný hacker ukradol ľuďom 5 miliónov dolárov SIM swappingom
Tento článok je preložený z českého originálu, ktorý pre vás pripravil Samslav84.
Nepremeškajte naše ďalšie spravodajstvo a prihláste sa na odber noviniek (návod nájdete tu). Nezabudnite nás tiež sledovať na našom Facebooku a najnovšie aj na Instagrame a Twitteri.
