A „TooHash” művelet, avagy hogyan működnek a célzott támadások

Szakértőink a G Data SecurityLabs-nál felfedeztek egy kiberkémkedési kampányt, amely tökéletesen példázza, hogy hogyan is működnek a célzott támadások. A kampány célja értékes dokumentumok eltulajdonítása volt a célba vett szervezettől, intézménytől. A szakértők „TooHash” műveletnek keresztelték el.

A bűnözők által bevetett metódus az volt, hogy célzott adathalászatot hajtottak végre egy csatolmányként feltüntetett, kártékony Microsoft Office dokumentum segítségével.

A támadók a célpontokat nem összevissza válogatják ki, amely abból a tényből szűrhető le, hogy speciálisan elkészített önéletrajzokat küldtek, valószínűleg HR-es dolgozóknak. A címzettek napi szinten szoktak hasonló anyagokat megnyitni, így ezek sem tűnhettek gyanúsnak.

A felfedezett minták többsége Tajvanról származott. A dokumentumok egy része egyszerűsített kínai nyelven íródott, amelyet Kína területén használnak, más részük hagyományos kínaiul készült, amelyet pedig Hongkongban, Makaón és Tajvanon használnak. Ezeket a kártékony dokumentumokat használhatták a célpontok ellen a teljes kínai térségben.

32817391_l

A csatolt dokumentum egy jól ismert és meglehetősen régi sérülékenységet (CVE-2012-0158) használt ki, hogy elhelyezzen egy távoli adminisztrációs eszközt (remote administration tool vagy röviden RAT, azaz patkány) a célba vett számítógépen. A kampány alatt szakértőink két különböző kártevőt azonosítottak, ezek a Win32.Trojan.Cohhoc.A és a Win32.Trojan.DirectsX.A voltak. Mindkettő tartalmazza a szokásos kiberkémkedési összetevőket, mint kód-végrehajtási, fájllistázási és dokumentumkiszivárogtatási részek.

Felfedeztek továbbá 75 parancs- és kontrollszervert, mindegyiket arra használták, hogy irányítsák a fertőzött számítógépeket. A szerverek főként Hongkongban és az USA területén voltak. A támadók által a fertőzött rendszerek irányítására használt adminisztrációs panelek nyelve részben kínai, részben angol volt.

Manapság az üzleti titkok jelentik majdnem minden cég legfőbb értékeit. Ezért az irigy versenytársak könnyen kísértésbe eshetnek, hogy eltulajdonítsák az érzékeny információt, hogy azután saját céljaikra használják fel. Ezen dokumentumok kiszivárgása katasztrófával érhet fel egy cég számára és jelentős pénzügyi veszteséghez vezethet. A kormányzati szervek által használt érzékeny, magán- vagy minősített dokumentumok pedig különböző hírszerző ügynökségek érdeklődését kelthetik fel.

A teljes elemzés és tanulmány angol nyelven a www.gdatasoftware.com/rdk/dl-en-toohash linken
érhető el.

Forrás: G Data

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük