Η εξελιγμένη ομάδα απειλών πίσω από έναν πολύπλοκο Trojan απομακρυσμένης πρόσβασης JavaScript (RAT) που είναι γνωστός ως JSOutProx κυκλοφόρησε μια νέα έκδοση του κακόβουλου λογισμικού για να στοχεύει οργανισμούς στη Μέση Ανατολή.
Η εταιρεία υπηρεσιών κυβερνοασφάλειας Resecurity ανέλυσε τεχνικές λεπτομέρειες πολλών περιστατικών που αφορούν το κακόβουλο λογισμικό JSOutProx που στοχεύει οικονομικούς πελάτες και παρέχει είτε μια ψεύτικη ειδοποίηση πληρωμής SWIFT εάν στοχεύει μια επιχείρηση είτε ένα πρότυπο MoneyGram όταν στοχεύει ιδιώτες, έγραψε η εταιρεία σε έκθεση που δημοσιεύθηκε αυτήν την εβδομάδα. Η ομάδα απειλής έχει στοχεύσει κυβερνητικούς οργανισμούς στην Ινδία και την Ταϊβάν, καθώς και χρηματοπιστωτικούς οργανισμούς στις Φιλιππίνες, το Λάος, τη Σιγκαπούρη, τη Μαλαισία, την Ινδία — και τώρα Σαουδική Αραβία.
Η πιο πρόσφατη έκδοση του JSOutProx είναι ένα πολύ ευέλικτο και καλά οργανωμένο πρόγραμμα από αναπτυξιακή προοπτική, που επιτρέπει στους εισβολείς να προσαρμόσουν τη λειτουργικότητα στο συγκεκριμένο περιβάλλον του θύματος, λέει ο Gene Yoo, Διευθύνων Σύμβουλος της Resecurity.
«Είναι ένα εμφύτευμα κακόβουλου λογισμικού με πολλαπλά στάδια και έχει πολλά plug-ins», λέει. «Ανάλογα με το περιβάλλον του θύματος, μπαίνει κατευθείαν και στη συνέχεια το αιμορραγεί ή δηλητηριάζει το περιβάλλον, ανάλογα με το ποια πρόσθετα είναι ενεργοποιημένα».
Οι επιθέσεις είναι η τελευταία καμπάνια μιας κυβερνοεγκληματικής ομάδας γνωστής ως Solar Spider, η οποία φαίνεται να είναι η μόνη ομάδα που χρησιμοποιεί το κακόβουλο λογισμικό JSOutProx. Με βάση τους στόχους της ομάδας - συνήθως οργανώσεις στην Ινδία, αλλά και στην Ασία-Ειρηνικό, την Αφρική και περιοχές της Μέσης Ανατολής — πιθανότατα συνδέεται με την Κίνα, Η ασφάλεια που αναφέρει στην ανάλυσή της.
«Με το προφίλ των στόχων και ορισμένες από τις λεπτομέρειες που αποκτήσαμε στην υποδομή, υποπτευόμαστε ότι σχετίζονται με την Κίνα», λέει ο Yoo.
"Υψηλή ασαφή… Αρθρωτή προσθήκη"
Το JSOutProx είναι πολύ γνωστό στον χρηματοπιστωτικό κλάδο. Η Visa, για παράδειγμα, κατέγραψε εκστρατείες που χρησιμοποιούν το εργαλείο επίθεσης το 2023, συμπεριλαμβανομένης μιας που κατευθύνθηκε σε πολλές τράπεζες στην περιοχή Ασίας-Ειρηνικού, δήλωσε η εταιρεία στο Η εξαμηνιαία έκθεση απειλών που δημοσιεύθηκε τον Δεκέμβριο.
Ο Trojan απομακρυσμένης πρόσβασης (RAT) είναι μια «υψηλά ασαφής κερκόπορτα JavaScript, η οποία έχει δυνατότητες αρθρωτής προσθήκης, μπορεί να εκτελεί εντολές φλοιού, να κατεβάζει, να ανεβάζει και να εκτελεί αρχεία, να χειρίζεται το σύστημα αρχείων, να δημιουργεί επιμονή, να παίρνει στιγμιότυπα οθόνης και να χειρίζεται πληκτρολόγιο και ποντίκι γεγονότα», ανέφερε η Visa στην έκθεσή της. «Αυτά τα μοναδικά χαρακτηριστικά επιτρέπουν στο κακόβουλο λογισμικό να αποφύγει τον εντοπισμό από τα συστήματα ασφαλείας και να λάβει μια ποικιλία ευαίσθητων πληροφοριών πληρωμών και οικονομικών πληροφοριών από στοχευμένα χρηματοπιστωτικά ιδρύματα.
Το JSOutProx εμφανίζεται συνήθως ως αρχείο PDF ενός οικονομικού εγγράφου σε ένα αρχείο zip. Αλλά πραγματικά, είναι η JavaScript που εκτελείται όταν ένα θύμα ανοίγει το αρχείο. Το πρώτο στάδιο της επίθεσης συλλέγει πληροφορίες σχετικά με το σύστημα και επικοινωνεί με διακομιστές εντολών και ελέγχου που έχουν συσκοτιστεί μέσω δυναμικού DNS. Το δεύτερο στάδιο της επίθεσης πραγματοποιεί λήψη οποιουδήποτε από τα 14 περίπου πρόσθετα για τη διεξαγωγή περαιτέρω επιθέσεων, συμπεριλαμβανομένης της απόκτησης πρόσβασης στο Outlook και της λίστας επαφών του χρήστη και ενεργοποίησης ή απενεργοποίησης διακομιστών μεσολάβησης στο σύστημα.
Το RAT κατεβάζει πρόσθετα από το GitHub — ή πιο πρόσφατα, το GitLab — για να φαίνονται νόμιμες.
«Η ανακάλυψη της νέας έκδοσης του JSOutProx, σε συνδυασμό με την εκμετάλλευση πλατφορμών όπως το GitHub και το GitLab, τονίζει τις αδιάκοπες προσπάθειες και την εκλεπτυσμένη συνέπεια αυτών των κακόβουλων παραγόντων», ανέφερε η Resecurity στην ανάλυσή της.
Δημιουργία εσόδων από δεδομένα από Middle East Financials
Μόλις το Solar Spider θέτει σε κίνδυνο έναν χρήστη, οι εισβολείς συλλέγουν πληροφορίες, όπως αριθμούς πρωταρχικών λογαριασμών και διαπιστευτήρια χρήστη, και στη συνέχεια πραγματοποιούν μια ποικιλία κακόβουλων ενεργειών εναντίον του θύματος, σύμφωνα με την αναφορά απειλών της Visa.
«Το κακόβουλο λογισμικό JSOutProx αποτελεί σοβαρή απειλή για τα χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, και ειδικά εκείνα στην περιοχή AP, καθώς αυτές οι οντότητες έχουν στοχοποιηθεί συχνότερα με αυτό το κακόβουλο λογισμικό», αναφέρεται στην έκθεση της Visa.
Οι εταιρείες θα πρέπει να εκπαιδεύουν τους υπαλλήλους σχετικά με το πώς να χειρίζονται αυτόκλητη, ύποπτη αλληλογραφία για να μετριάσουν την απειλή του κακόβουλου λογισμικού, δήλωσε η Visa. Επιπλέον, κάθε περίπτωση του κακόβουλου λογισμικού πρέπει να διερευνηθεί και να αποκατασταθεί πλήρως για να αποφευχθεί η εκ νέου μόλυνση.
Μεγαλύτερες εταιρείες και κρατικές υπηρεσίες είναι πιο πιθανό να δεχθούν επίθεση από τον όμιλο, επειδή η Solar Spider έχει το βλέμμα της στις πιο επιτυχημένες εταιρείες, λέει ο Yoo της Resecurity. Ως επί το πλείστον, ωστόσο, οι εταιρείες δεν χρειάζεται να λάβουν συγκεκριμένα μέτρα για την απειλή, αλλά να επικεντρωθούν σε στρατηγικές άμυνας σε βάθος, λέει.
«Ο χρήστης πρέπει να επικεντρωθεί στο να μην κοιτάζει το γυαλιστερό αντικείμενο στον ουρανό, όπως οι Κινέζοι επιτίθενται, αλλά σε αυτό που πρέπει να κάνουν είναι να δημιουργήσουν μια καλύτερη βάση», λέει ο Yoo. «Έχοντας καλή ενημέρωση κώδικα, τμηματοποίηση δικτύου και διαχείριση ευπάθειας. Εάν το κάνετε αυτό, τότε τίποτα από αυτά δεν θα επηρεάσει πιθανότατα τους χρήστες σας.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
- :έχει
- :είναι
- :δεν
- 14
- 2023
- 7
- a
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- ενεργειών
- πραγματικά
- Επιπλέον
- Αφρική
- κατά
- υπηρεσίες
- επιτρέπουν
- Επιτρέποντας
- Επίσης
- an
- ανάλυση
- αναλύθηκε
- και
- κάθε
- εμφανίζομαι
- εμφανίζεται
- Αρχείο
- ΕΙΝΑΙ
- γύρω
- AS
- At
- επίθεση
- Επιθετικός
- Επιθέσεις
- κερκόπορτα
- Τράπεζες
- βασίζονται
- BE
- επειδή
- ήταν
- πίσω
- Καλύτερα
- αλλά
- by
- Εκστρατεία
- Καμπάνιες
- CAN
- δυνατότητες
- Διευθύνων Σύμβουλος
- Κίνα
- κινέζικο
- Οι πολίτες
- συλλέγουν
- συλλέγει
- Εταιρείες
- εταίρα
- εντελώς
- συγκρότημα
- Διεξαγωγή
- επικοινωνήστε μαζί μας
- σε συνδυασμό
- δημιουργία
- Διαπιστεύσεις
- Πελάτες
- ΚΥΒΕΡΝΟΕΓΚΛΗΜΑΤΙΚΟΣ
- ημερομηνία
- παράδοση
- Σε συνάρτηση
- καθέκαστα
- Ανίχνευση
- Ανάπτυξη
- ανακάλυψη
- dns
- do
- έγγραφο
- Don
- κατεβάσετε
- λήψεις
- δυναμικός
- Ανατολή
- εκπαιδεύσει
- προσπάθειες
- είτε
- τονίζει
- υπαλλήλους
- ενεργοποιημένη
- ενεργοποίηση
- Εταιρεία
- οντότητες
- Περιβάλλον
- ειδικά
- εγκαθιδρύω
- διαφυγής
- εκδηλώσεις
- παράδειγμα
- εκτελέσει
- Εκτελεί
- εκμετάλλευση
- απομίμηση
- Χαρακτηριστικά
- Αρχεία
- Αρχεία
- οικονομικός
- οικονομικές πληροφορίες
- Χρηματοπιστωτικά ιδρύματα
- οικονομικά
- Εταιρεία
- επιχειρήσεις
- Όνομα
- εύκαμπτος
- Συγκέντρωση
- Για
- Θεμέλιο
- συχνά
- από
- λειτουργικότητα
- περαιτέρω
- κερδίζει
- GitHub
- πηγαίνει
- καλός
- Κυβέρνηση
- κυβερνητικούς οργανισμούς
- Group
- λαβή
- Έχω
- που έχει
- he
- υψηλά
- Πως
- Πώς να
- Ωστόσο
- HTTPS
- if
- Επίπτωση
- in
- Συμπεριλαμβανομένου
- Ινδία
- βιομηχανία
- πληροφορίες
- Υποδομή
- παράδειγμα
- αντί
- ιδρυμάτων
- συμμετοχή
- IT
- ΤΟΥ
- το JavaScript
- jpg
- γνωστός
- laos
- αργότερο
- νόμιμος
- Μου αρέσει
- Πιθανός
- συνδέονται
- Λιστα
- κοιτάζοντας
- Malaysia
- κακόβουλο
- malware
- διαχείριση
- Μέσο
- Μέση Ανατολή
- Μετριάζω
- σπονδυλωτή
- MoneyGram
- περισσότερο
- πλέον
- πολλαπλούς
- πρέπει
- Ανάγκη
- δίκτυο
- Νέα
- Νέα
- Ν/Α
- κοινοποίηση
- τώρα
- αριθμοί
- αντικείμενο
- αποκτήσει
- λαμβάνεται
- of
- on
- ONE
- αποκλειστικά
- ανοίγει
- or
- οργανώσεις
- θέα
- μέρος
- Διόρθωση
- πληρωμή
- επιμονή
- προοπτική
- Philippines
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- συνδέω
- Plugins
- θέτει
- πρόληψη
- πρωταρχικός
- ιδιωτικός
- προφίλ
- Πρόγραμμα
- δημοσιεύθηκε
- ΑΡΟΥΡΑΙΟΣ
- πραγματικά
- πρόσφατα
- περιοχή
- σχετίζεται με
- κυκλοφόρησε
- αμείλικτος
- μακρινός
- απομακρυσμένη πρόσβαση
- αναφέρουν
- δεξιά
- τρέξιμο
- s
- Είπε
- Σαουδική
- Σαουδική Αραβία
- λέει
- screenshots
- Δεύτερος
- ασφάλεια
- κατάτμηση
- ευαίσθητος
- σοβαρός
- Διακομιστές
- Υπηρεσίες
- διάφοροι
- κέλυφος
- θα πρέπει να
- Αξιοθέατα
- Singapore
- Ουρανός
- ηλιακός
- μερικοί
- εξελιγμένα
- συγκεκριμένες
- Στάδιο
- στάδια
- δήλωσε
- Βήματα
- στρατηγικές
- επιτυχής
- τέτοιος
- ύποπτος
- SWIFT
- σύστημα
- συστήματα
- ράφτης
- Ταϊβάν
- Πάρτε
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Τεχνικός
- πρότυπο
- ότι
- Η
- Οι Φιλιππίνες
- ο κόσμος
- Τους
- τότε
- Αυτοί
- αυτοί
- αυτό
- αυτή την εβδομάδα
- εκείνοι
- απειλή
- Αναφορά απειλών
- απειλές
- προς την
- εργαλείο
- Trojan
- συνήθως
- μοναδικός
- Αυτόκλητη
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- ποικιλία
- εκδοχή
- πολύ
- μέσω
- Θύμα
- Visa
- ευπάθεια
- we
- εβδομάδα
- ΛΟΙΠΌΝ
- Τι
- πότε
- Ποιό
- με
- κόσμος
- θα
- Έγραψε
- Εσείς
- Σας
- zephyrnet
- Zip