Grupul de amenințări sofisticat din spatele unui troian complex de acces la distanță (RAT) JavaScript cunoscut sub numele de JSOutProx a lansat o nouă versiune a malware-ului pentru a viza organizațiile din Orientul Mijlociu.
Firma de servicii de securitate cibernetică Resecurity a analizat detaliile tehnice ale mai multor incidente care implică malware-ul JSOutProx care vizează clienții financiari și a furnizat fie o notificare de plată SWIFT falsă dacă vizează o întreprindere, fie un șablon MoneyGram atunci când vizează cetățeni privați, a scris compania într-un raport publicat în această săptămână. Grupul de amenințare a vizat organizații guvernamentale din India și Taiwan, precum și organizații financiare din Filipine, Laos, Singapore, Malaezia, India - și acum Arabia Saudită.
Cea mai nouă versiune de JSOutProx este un program foarte flexibil și bine organizat din perspectiva dezvoltării, permițând atacatorilor să adapteze funcționalitatea pentru mediul specific al victimei, spune Gene Yoo, CEO al Resecurity.
„Este un implant de malware cu mai multe etape și are mai multe plug-in-uri”, spune el. „În funcție de mediul victimei, aceasta intră direct și apoi le sângerează sau otrăvește mediul, în funcție de ce plug-in-uri sunt activate.”
Atacurile sunt cea mai recentă campanie a unui grup infracțional cibernetic cunoscut sub numele de Solar Spider, care pare să fie singurul grup care folosește malware-ul JSOutProx. Pe baza obiectivelor grupului - de obicei organizații din India, dar și din Asia-Pacific, Africa și regiunile din Orientul Mijlociu — este probabil legat de China, Resecuritatea menționată în analiza sa.
„Prin profilarea țintelor și a unora dintre detaliile pe care le-am obținut în infrastructură, bănuim că are legătură cu China”, spune Yoo.
„Plug-in modular foarte obscurcat”
JSOutProx este bine cunoscut în industria financiară. Visa, de exemplu, a documentat campanii folosind instrumentul de atac în 2023, inclusiv una care a vizat mai multe bănci din regiunea Asia-Pacific, a declarat compania în Raportul său bianual privind amenințările publicat în decembrie.
Troianul de acces la distanță (RAT) este o „uşă din spate JavaScript extrem de obscurată, care are capabilități de plugin modulare, poate rula comenzi shell, poate descărca, încărca și executa fișiere, poate manipula sistemul de fișiere, stabilește persistența, face capturi de ecran și poate manipula tastatura și mouse-ul. evenimente”, a declarat Visa în raportul său. „Aceste caracteristici unice permit malware-ului să evite detectarea de către sistemele de securitate și să obțină o varietate de informații sensibile de plată și financiare de la instituțiile financiare vizate.
JSOutProx apare de obicei ca fișier PDF al unui document financiar într-o arhivă zip. Dar, într-adevăr, JavaScript este cel care se execută atunci când o victimă deschide fișierul. Prima etapă a atacului colectează informații despre sistem și comunică cu servere de comandă și control obscurcate prin DNS dinamic. A doua etapă a atacului descarcă oricare dintre cele 14 plug-in-uri pentru a efectua alte atacuri, inclusiv obținerea accesului la Outlook și lista de contacte a utilizatorului și activarea sau dezactivarea proxy-urilor din sistem.
RAT descarcă pluginuri din GitHub – sau mai recent, GitLab – pentru a părea legitime.
„Descoperirea noii versiuni de JSOutProx, împreună cu exploatarea unor platforme precum GitHub și GitLab, subliniază eforturile necruțătoare ale acestor actori rău intenționați și consistența sofisticată”, a spus Resecurity în analiza sa.
Monetizarea datelor din Orientul Mijlociu financiar
Odată ce Solar Spider compromite un utilizator, atacatorii colectează informații, cum ar fi numerele de cont primare și acreditările utilizatorului, apoi efectuează o varietate de acțiuni rău intenționate împotriva victimei, conform raportului Visa amenințări.
„Malware-ul JSOutProx reprezintă o amenințare serioasă pentru instituțiile financiare din întreaga lume și în special pentru cele din regiunea AP, deoarece acele entități au fost vizate mai frecvent de acest malware”, se arată în raportul Visa.
Companiile ar trebui să educe angajații despre cum să gestioneze corespondența nesolicitată și suspectă pentru a atenua amenințarea malware-ului, a declarat Visa. În plus, orice instanță a malware-ului trebuie investigată și remediată complet pentru a preveni reinfectarea.
Companiile mai mari și agențiile guvernamentale sunt mai susceptibile de a fi atacate de grup, deoarece Solar Spider are ochii pe cele mai de succes firme, spune Yoo de la Resecurity. Cu toate acestea, în cea mai mare parte, companiile nu trebuie să ia măsuri specifice amenințărilor, ci se concentrează în schimb pe strategii de apărare în profunzime, spune el.
„Utilizatorul ar trebui să se concentreze să nu se uite la obiectul strălucitor de pe cer, așa cum atacă chinezii, ci pe ceea ce trebuie să facă este să creeze o bază mai bună”, spune Yoo. „Aveți corecții bune, segmentare a rețelei și gestionarea vulnerabilităților. Dacă faceți acest lucru, atunci nimic din toate acestea nu va afecta probabil utilizatorii dvs.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
- :are
- :este
- :nu
- 14
- 2023
- 7
- a
- Despre Noi
- acces
- Conform
- Cont
- acțiuni
- de fapt
- plus
- Africa
- împotriva
- Agențiile
- permite
- Permiterea
- de asemenea
- an
- analiză
- analizate
- și
- Orice
- apărea
- apare
- arhivă
- SUNT
- în jurul
- AS
- At
- ataca
- atacare
- Atacuri
- ușă din dos
- Băncile
- bazat
- BE
- deoarece
- fost
- în spatele
- Mai bine
- dar
- by
- Campanie
- Campanii
- CAN
- capacități
- CEO
- China
- chinez
- cetăţenii
- colecta
- colecte
- Companii
- companie
- complet
- complex
- Conduce
- contactați-ne
- cuplat
- crea
- scrisori de acreditare
- clienţii care
- CYBERCRIMINAL
- de date
- livrarea
- În funcție
- detalii
- Detectare
- Dezvoltare
- descoperire
- dns
- do
- document
- don
- Descarca
- download-uri
- dinamic
- Est
- educa
- Eforturile
- oricare
- subliniază
- de angajați
- activat
- permițând
- Afacere
- entități
- Mediu inconjurator
- mai ales
- stabili
- sustrage
- evenimente
- exemplu
- a executa
- Executa
- exploatare
- fals
- DESCRIERE
- Fișier
- Fişiere
- financiar
- informatie financiara
- Institutii financiare
- Financials
- Firmă
- firme
- First
- flexibil
- Concentra
- Pentru
- Fundație
- frecvent
- din
- funcționalitate
- mai mult
- câștigă
- GitHub
- Merge
- bine
- Guvern
- agentii guvernamentale
- grup
- manipula
- Avea
- având în
- he
- extrem de
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- if
- Impactul
- in
- Inclusiv
- India
- industrie
- informații
- Infrastructură
- instanță
- in schimb
- instituții
- implicând
- IT
- ESTE
- JavaScript
- jpg
- cunoscut
- Laos
- Ultimele
- legitim
- ca
- Probabil
- legate de
- Listă
- cautati
- Malaezia
- rău
- malware
- administrare
- De mijloc
- Orientul Mijlociu
- diminua
- modular
- MoneyGram
- mai mult
- cele mai multe
- multiplu
- trebuie sa
- Nevoie
- reţea
- Nou
- Cele mai noi
- Nici unul
- notificare
- acum
- numere
- obiect
- obține
- obținut
- of
- on
- ONE
- afară
- deschide
- or
- organizații
- Perspectivă
- parte
- patching
- plată
- persistență
- perspectivă
- Filipine
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- conecteaza
- Plugin-uri
- ridică
- împiedica
- primar
- privat
- profilare
- Program
- publicat
- ŞOBOLAN
- într-adevăr
- recent
- regiune
- legate de
- eliberat
- neobosit
- la distanta
- acces de la distanță
- raportează
- dreapta
- Alerga
- s
- Said
- Arabia
- Arabia Saudită
- spune
- capturi de ecran
- Al doilea
- securitate
- segmentarea
- sensibil
- serios
- Servere
- Servicii
- câteva
- Coajă
- să
- Puncte de atractie
- Singapore
- Cer
- solar
- unele
- sofisticat
- specific
- Etapă
- Stadiile
- stabilit
- paşi
- strategii
- de succes
- astfel de
- suspicios
- SWIFT
- sistem
- sisteme
- Croitor
- Taiwan
- Lua
- Ţintă
- vizate
- direcționare
- obiective
- Tehnic
- șablon
- acea
- Filipine
- lumea
- Lor
- apoi
- Acestea
- ei
- acest
- în această săptămână
- aceste
- amenințare
- Raportul de amenințare
- amenințări
- la
- instrument
- troian
- tipic
- unic
- nesolicitat
- Utilizator
- utilizatorii
- folosind
- varietate
- versiune
- foarte
- de
- Victimă
- are drept scop
- vulnerabilitate
- we
- săptămână
- BINE
- Ce
- cand
- care
- cu
- lume
- ar
- scris
- Tu
- Ta
- zephyrnet
- Zip