Visoko sofisticirani spear-phishing napadi na kompanije širom svijeta

Palo Alto Nerworks je objavio da su otkrili kampanju spear-phishing napada na mete visokog profila širom svijeta.

Istraživači iz Palo Alto od maja ove godine prate kampanju napada koja koristi viruse nazvane PoohMilk, Freenki i N1stAgent. Kampanja nazvana FreeMilk se sastoji od napada na banke na Bliskom Istoku, firme koje se bave zaštitom intelektualne imovine u Evropi i internacionale korporacije.

U napadima je korišćena ranjivost u Microsoft Word-u, označena sa CVE-2017-0199, kako bi se na računarima pokrenuo loader virus PoohMilk. Ovaj virus bi instalirao downloader pod nazivom Feenki koji bi dalje instalirao RAT pod nazivom N1stAgent.

Ono što je karakteristično za ovu kampanju je i uključivanje napadača u tekuće e-mail razmjene, najvjerovatnije korišćenjem ukradenih kredencijala. Hakeri bi prvo preuzeli nalog sa koga bi slali spear-phisihing e-mail-ove glavnoj meti u već otvorenoj konverzaciji između glavne mete i preuzetog naloga.

Poslati e-mail-ovi su sadržali maliciozni dokument sa informacijama koje su relevantne za prethodnu konverzaciju.

Christopher Budd, viši menadžer u Palo Alto, objavio je da je riječ o visoko sofisticiranim, zahtijevnim i fokusiranim napadima.

Virusi korišćeni u kampanji zahtijevaju argumente pri izvršavanju što onemogućuje automatsku analizu. Iako iz Palo Alto-a nisu naveli ko stoji iza kampanje, treba napomenuti da su Freenki i N1stAgent prije povezivani sa grupom za koju se sumnja da je povezana sa vladom Sjeverne Koreje.

Izvor:securityweek.com