Ahli FireEye telah melacak kampanye Operasi Beebus selama beberapa bulan sekarang, dan geng yang sama baru, hacker sedang disalahkan untuk satu set serangan tombak-phishing baru ditemukan yang bertujuan untuk mencuri informasi yang berkaitan dengan drone Amerika.
Serangan-serangan ini dieksploitasi ditemukan sebelumnya kerentanan melalui file dokumen yang disampaikan melalui email untuk menanam backdoor yang sebelumnya tidak diketahui ke sistem korban. Operasi Beebus adalah kampanye serangan APT gaya menargetkan instansi pemerintah di Amerika Serikat dan India serta berbagai aerospace, pertahanan, dan organisasi industri telekomunikasi.FireEye Labs telah menghubungkan serangan ke Komentar Kelompok hacker kolektif (aktor produktif diyakini berafiliasi dengan pemerintah Chines), dan Operasi Beebus yang berbasis di China.
"Himpunan target mencakup semua aspek kendaraan tak berawak, tanah, udara dan laut, dari penelitian untuk merancang untuk manufaktur dari kendaraan dan berbagai subsistem mereka. Malware terkait lainnya telah ditemukan melalui sama C & C infrastruktur yang memiliki satu set sama target, bahwa ketika disertakan membawa jumlah target ke lebih dari 20 sebagai tulisan ini. Target ini mencakup beberapa di akademisi yang telah menerima dana militer untuk proyek penelitian mereka yang berhubungan dengan kendaraan tak berawak. "Kata para ahli.
FireEye mengamati serangan phishing tombak yang dikerahkan lampiran berbahaya menyamar sebagai dokumen yang berisi rincian tentang kemajuan militer Pakistan dalam teknologi pesawat tanpa awak. Dokumen ini dikaitkan dengan Aditi Malhotra, seorang Fellow Associate di Pusat Studi Warfare Tanah (CLAWS) di New Delhi. Malhorta ternyata orang yang nyata dengan tulisan-tulisan yang dapat ditemukan secara online, tetapi tidak jelas apakah dia benar-benar menulis dokumen atau jika penyerang hanya menggunakan namanya.
Para Beebus sebelumnya menyerang terlibat PDF berbahaya dan file Word dengan nama seperti "sensor environments.doc" dan "RHT_SalaryGuide_2012.pdf" diemail ke target. Dokumen berusaha untuk mengeksploitasi DLL terkenal pencarian agar pembajakan kerentanan pada Windows dan drop file DLL berbahaya di direktori Windows. Para penyerang Beebus juga menggunakan TTP (alat, teknik, dan prosedur) identik dengan hack RSA.
Para Beebus sebelumnya menyerang terlibat PDF berbahaya dan file Word dengan nama seperti "sensor environments.doc" dan "RHT_SalaryGuide_2012.pdf" diemail ke target. Dokumen berusaha untuk mengeksploitasi DLL terkenal pencarian agar pembajakan kerentanan pada Windows dan drop file DLL berbahaya di direktori Windows. Para penyerang Beebus juga menggunakan TTP (alat, teknik, dan prosedur) identik dengan hack RSA.
Backdoor berpura-pura menjadi perangkat lunak dari Google atau Microsoft, yang membuat sulit untuk mendeteksi, terutama karena tidak membahayakan komputer pengguna dengan cara apapun. Setelah di tempat, backdoor memungkinkan alamat IP asing akses ke file pribadi. Dua versi yang berbeda dari backdoor yang sama digunakan dalam semua serangan ini, yang FireEye telah dijuluki "Mutter." Mutter adalah proxy HTTP sadar, dan upaya untuk menentukan apakah proxy yang diperlukan dan apa rincian proxy jika diperlukan.
Setelah infeksi, malware akan tetap aktif selama beberapa waktu sebelum mencoba untuk exfiltrate data dari PC yang terinfeksi. Operasi Beebus ingin beberapa informasi yang sangat spesifik dan kemungkinan tidak ada yang baik yang direncanakan untuk itu. Pembajakan drone mungkin tidak biasa saja, namun kemampuan itu bisa menimbulkan beberapa pertanyaan serius tentang penggunaan drone luasa
0komentar:
Post a Comment