JSOutProxi nime all tuntud keeruka JavaScripti kaugjuurdepääsu trooja (RAT) taga asuv keerukas ohurühm on välja andnud Lähis-Ida organisatsioonidele suunatud pahavara uue versiooni.
Küberturbeteenuste ettevõte Resecurity analüüsis tehnilisi üksikasju mitme intsidendi kohta, mis hõlmasid JSOutProxi pahavara, mis oli suunatud finantsklientidele ja edastas kas võltsitud SWIFT-i makseteatise, kui see oli suunatud ettevõttele, või MoneyGrami malli, kui see oli suunatud eraisikutele, kirjutas ettevõte sel nädalal avaldatud aruandes. Ohurühm on võtnud sihikule India ja Taiwani valitsusorganisatsioonid, aga ka finantsorganisatsioonid Filipiinidel, Laoses, Singapuris, Malaisias ja Indias – ja nüüd Saudi Araabia.
JSOutProxi uusim versioon on arenguperspektiivist väga paindlik ja hästi organiseeritud programm, mis võimaldab ründajatel kohandada funktsioone ohvri spetsiifilise keskkonna jaoks, ütleb Resecurity tegevjuht Gene Yoo.
"See on mitmeastmeline pahavaraimplantaat ja sellel on mitu pistikprogrammi, " ütleb ta. "Sõltuvalt ohvri keskkonnast läheb see otse sisse ja seejärel veritseb ta või mürgitab keskkonda, olenevalt sellest, millised pistikprogrammid on lubatud."
Rünnakud on Solar Spiderina tuntud küberkurjategijate rühmituse uusim kampaania, mis näib olevat ainus rühmitus, mis kasutab JSOutProxi pahavara. Põhineb grupi eesmärkidel – tavaliselt India, aga ka Aasia ja Vaikse ookeani piirkonna, Aafrika ja Lähis-Ida piirkonnad — see on tõenäoliselt seotud Hiinaga, Oma analüüsis märgiti turvalisus.
"Sihtmärkide ja infrastruktuuris saadud üksikasjade profileerimisel kahtlustame, et see on seotud Hiinaga," ütleb Yoo.
"Väga hägune … modulaarne pistikprogramm"
JSOutProx on finantssektoris hästi tuntud. Näiteks Visa dokumenteeris rünnakutööriista kasutavaid kampaaniaid 2023. aastal, sealhulgas üks, mis osutas mitmele Aasia ja Vaikse ookeani piirkonna pangale, teatas ettevõte detsembris avaldatud kaks korda aastas avaldatud ohtude aruanne.
Kaugjuurdepääsu troojalane (RAT) on "väga hägustatud JavaScripti tagauks, millel on modulaarsed pistikprogrammid, mis suudab käivitada shellikäske, alla laadida, üles laadida ja käivitada faile, manipuleerida failisüsteemiga, luua püsivust, teha ekraanipilte ning manipuleerida klaviatuuri ja hiirt sündmustest," märkis Visa oma aruandes. "Need ainulaadsed funktsioonid võimaldavad pahavaral turvasüsteemide tuvastamisest kõrvale hoida ja hankida sihtfinantseerimisasutustelt mitmesuguseid tundlikku makse- ja finantsteavet.
JSOutProx kuvatakse tavaliselt ZIP-arhiivis finantsdokumendi PDF-failina. Kuid tegelikult käivitub JavaScript, kui ohver faili avab. Rünnaku esimene etapp kogub süsteemi kohta teavet ja suhtleb dünaamilise DNS-i kaudu hägustatud käsu- ja juhtimisserveritega. Rünnaku teises etapis laaditakse alla mis tahes 14 pistikprogrammist, et korraldada edasisi rünnakuid, sealhulgas pääseda juurde Outlookile ja kasutaja kontaktiloendile ning lubada või keelata süsteemi puhverserverid.
RAT laadib GitHubist või hiljuti GitLabist alla pistikprogrammid, et need näiksid legitiimsed.
"JSOutProxi uue versiooni avastamine koos platvormide, nagu GitHub ja GitLab, ärakasutamisega rõhutab nende pahatahtlike osalejate järeleandmatut pingutust ja keerulist järjepidevust," ütles Resecurity oma analüüsis.
Lähis-Ida finantssektori andmete monetiseerimine
Kui Solar Spider on kasutaja kompromiteerinud, koguvad ründajad Visa ohuaruande kohaselt teavet, nagu esmased kontonumbrid ja kasutaja mandaadid, ning sooritavad seejärel ohvri vastu mitmesuguseid pahatahtlikke toiminguid.
"JSOutProxi pahavara kujutab tõsist ohtu finantsasutustele kogu maailmas ja eriti AP piirkonnas, kuna need üksused on selle pahavaraga sagedamini sihikule sattunud," seisab Visa aruandes.
Ettevõtted peaksid töötajaid koolitama, kuidas käituda soovimatu ja kahtlase kirjavahetusega, et leevendada pahavara ohtu, teatas Visa. Lisaks tuleb uuesti nakatumise vältimiseks uurida kõiki pahavara esinemisjuhte ja need täielikult kõrvaldada.
Grupp ründab tõenäolisemalt suuremaid ettevõtteid ja valitsusasutusi, kuna Solar Spider sihib kõige edukamaid ettevõtteid, ütleb Resecurity's Yoo. Enamasti ei pea ettevõtted siiski võtma ohuspetsiifilisi samme, vaid keskenduma põhjalikele kaitsestrateegiatele, ütleb ta.
"Kasutaja peaks keskenduma sellele, et ta ei vaataks läikivat objekti taevas, nagu hiinlased ründavad, vaid sellele, mida nad peavad tegema, on luua parem alus," ütleb Yoo. "Hea paikamine, võrgu segmenteerimine ja haavatavuse haldamine. Kui teete seda, ei mõjuta see tõenäoliselt teie kasutajaid.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
- :on
- :on
- :mitte
- 14
- 2023
- 7
- a
- MEIST
- juurdepääs
- Vastavalt
- konto
- meetmete
- tegelikult
- lisamine
- Aafrika
- vastu
- asutused
- võimaldama
- Lubades
- Ka
- an
- analüüs
- analüüsitud
- ja
- mistahes
- ilmuma
- ilmub
- Arhiiv
- OLEME
- ümber
- AS
- At
- rünnak
- Ründamine
- Reageerib
- tagauks
- Pangad
- põhineb
- BE
- sest
- olnud
- taga
- Parem
- kuid
- by
- Kampaania
- Kampaaniad
- CAN
- võimeid
- tegevjuht
- Hiina
- hiina
- Kodanikud
- koguma
- kogub
- Ettevõtted
- ettevõte
- täiesti
- keeruline
- Läbi viima
- kontakt
- seotud
- looma
- volikiri
- Kliendid
- KÜBERKRIMINAAL
- andmed
- edastamine
- Olenevalt
- detailid
- Detection
- & Tarkvaraarendus
- avastus
- DNS
- do
- dokument
- don
- lae alla
- allalaadimine
- dünaamiline
- Ida
- harima
- jõupingutusi
- kumbki
- rõhutab
- töötajad
- lubatud
- võimaldades
- ettevõte
- üksuste
- keskkond
- eriti
- looma
- põgeneda
- sündmused
- näide
- täitma
- Täidab
- kasutamine
- võlts
- FUNKTSIOONID
- fail
- Faile
- finants-
- finantsinfo
- Finants institutsioonid
- finantsid
- Firma
- ettevõtetele
- esimene
- paindlik
- Keskenduma
- eest
- Sihtasutus
- sageli
- Alates
- funktsionaalsus
- edasi
- kasumi saamine
- GitHub
- Goes
- hea
- Valitsus
- valitsusasutused
- Grupp
- käepide
- Olema
- võttes
- he
- kõrgelt
- Kuidas
- Kuidas
- aga
- HTTPS
- if
- mõju
- in
- Kaasa arvatud
- India
- tööstus
- info
- Infrastruktuur
- Näiteks
- selle asemel
- institutsioonid
- kaasates
- IT
- ITS
- JavaScript
- jpg
- teatud
- Laos
- hiljemalt
- õigustatud
- nagu
- Tõenäoliselt
- seotud
- nimekiri
- otsin
- Malaisia
- pahatahtlik
- malware
- juhtimine
- Kesk-
- Lähis-Ida
- Leevendada
- modulaarne
- MoneyGram
- rohkem
- kõige
- mitmekordne
- peab
- Vajadus
- võrk
- Uus
- Uusim
- mitte ükski
- teade
- nüüd
- numbrid
- objekt
- saama
- saadud
- of
- on
- ONE
- ainult
- Avaneb
- or
- organisatsioonid
- väljavaade
- osa
- Lappimine
- makse
- püsivus
- perspektiiv
- Filipiinid
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- plugin
- pluginad
- tekitab
- vältida
- esmane
- era-
- profiilide
- Programm
- avaldatud
- ROT
- tõesti
- hiljuti
- piirkond
- seotud
- vabastatud
- järeleandmatu
- kauge
- Remote Access
- aru
- õige
- jooks
- s
- Ütlesin
- Saudi
- Saudi Araabia
- ütleb
- ekraanipilte
- Teine
- turvalisus
- segmentatsioon
- tundlik
- tõsine
- Serverid
- Teenused
- mitu
- Shell
- peaks
- Vaatamisväärsused
- Singapur
- Sky
- päikese-
- mõned
- keeruline
- konkreetse
- Stage
- etappidel
- väljendatud
- Sammud
- strateegiad
- edukas
- selline
- kahtlane
- SWIFT
- süsteem
- süsteemid
- sobivalt
- Taiwan
- Võtma
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- Tehniline
- šabloon
- et
- .
- Filipiinid
- maailm
- Neile
- SIIS
- Need
- nad
- see
- sel nädalal
- need
- oht
- Ohuaruanne
- ähvardused
- et
- tööriist
- Trojan
- tüüpiliselt
- ainulaadne
- Pealesunnitud
- Kasutaja
- Kasutajad
- kasutamine
- sort
- versioon
- väga
- kaudu
- Ohver
- Viisa
- haavatavus
- we
- nädal
- Hästi
- M
- millal
- mis
- koos
- maailm
- oleks
- kirjutas
- sa
- Sinu
- sephyrnet
- Tõmblukk