Check Point analyzoval celý infekční řetězec, útočnou infrastrukturu a podobnost s předchozími kampaněmi a útoky. Také byl objeven online avatar rusky mluvícího hackera, který má podle všeho na starost nástroje vyvinuté a používané v tomto útoku.
Infekce začíná XLSM dokumentem se škodlivými makry, který je odeslán potenciálním obětem e-mailem s předmětem „Military Financing Program“. Dobře zpracovaný dokument obsahuje logo amerického ministerstva zahraničí a je označen jako „přísně tajný“. Ačkoli si útočníci dali hodně záležet na tom, aby dokument vypadal přesvědčivě, zdá se, že přehlédli některé detaily, které zůstaly v dokumentu, a mohly by přispět k odhalení informací o zdroji útoku.
Jakmile jsou makra povolena, extrahují se dva soubory. Jeden legitimní a druhý škodlivý, který umožňuje například vytvořit a odeslat kopii obrazovky, ukrást informace o počítači nebo stáhnout škodlivou verzi TeamVieweru, spustit ho a odeslat přihlašovací údaje útočníkům. Nebezpečná verze TeamVieweru přidává další „funkce“ do legitimní verze TeamVieweru a umožňuje skrýt rozhraní programu, aby uživatel nevěděl, že je spuštěn, uložit stávající přihlašovací údaje do textového souboru nebo přenášet a spouštět další .exe a .dll soubory.
Na základě získaných dat bylo možné sestavit částečný seznam zemí, kde byli úředníci terčem kyberútoků: Nepál, Guyana, Keňa, Itálie, Libérie, Bermudy, Libanon.
Pokud se díváme pouze na tento částečný seznam zemí, kde útoky probíhaly, nevyplývají z toho žádné konkrétní geopolitické motivy. Ale seznam sledovaných obětí vypovídá o zvláštním zájmu útočníků o veřejný finanční sektor.
Na jednu stranu se jedná o dobře promyšlený útok, který pečlivě vybírá oběti a používá specifický obsah, aby zaujal cílovou skupinu. Na druhou stranu některé aspekty tohoto útoku nebyly tak pečlivé a odhalují podrobnosti, které jsou v podobných kampaních obvykle dobře maskované, jako jsou osobní informace, online historie pachatele nebo dosah škodlivých aktivit.
Škodlivé DLL umožňuje útočníkům odeslat další obsah do infikovaného počítače a vzdáleně ho spustit. Další škodlivý obsah se ale zatím nepodařilo identifikovat, aby bylo možné určit skutečné záměry. Nicméně historie aktivit vývojářů na nelegálních fórech a charakteristiky obětí napovídají, že za útoky může být finanční motivace.
Více informací najdete v analýze výzkumného týmu Check Point Research:
https://research.checkpoint.com/finteam-trojanized-teamviewer-against-government-targets/
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
