Cybercriminele groep die verantwoordelijk is voor DNS-pionageoperatie werd selectiever in het kiezen van slachtoffers en bewapende zich met nieuwe malware Karkoff om de effectiviteit van hun cyberaanvallen te verbeteren.
EENvolgens FireEye, De DNSpionagecampagne begon eind april 2017 en daarvoor verantwoordelijke cybercriminelen die handelen in het belang van de Iraanse regering.Bij de vorige aanslagen, met het gebruik van nepwebsites en DNS-onderbrekingen, indringers leidden verkeer van legitieme domeinen om naar malware-domeinen, voor dat laatste werden gratis digitale certificaten gebruikt Laten we versleutelen.
Nu groep gewapend met nieuw instrument voor beheer op afstand met ondersteuning van verbinding met C&C-servers via HTTP en DNS, onderzoekers van Cisco Talos.
Sinds release van Cisco Talos eerste rapport over DNSpionage eind 2018 2018, cybercriminelen verbeterden hun tactiek.
“We ontdekten enkele veranderingen in de acteurs’ tactiek, technieken en procedures (TTP's), inclusief het gebruik van een nieuwe verkenningsfase die selectief kiest welke doelen met malware worden geïnfecteerd.”, – Dat meldden Cisco Talos-onderzoekers.
Met behulp van spionagemethoden, criminelen slagen erin om de bescherming te omzeilen en digitale vingerafdrukken te maken van het systeem dat ze aanvallen.
Criminelen selecteren hun slachtoffers zeer zorgvuldig en vallen hen aan met behulp van gerichte visserij. Ze sturen hun slachtoffers e-mails met bijgevoegde Microsoft Word- en Excel-documenten die malwaremacro's bevatten. Tijdens de aanval, malwareprogramma's veranderen via de macro's hun naam voor «taakwin32.exe» en maak een geplande taak «onedrive-updater v10.12.5» om ervoor te zorgen dat malware in een systeem blijft bestaan.
In DNSpionage, bij het openen van het Excel-document, gebruikers worden begroet met de belediging, “haha jij bent een ezel [sic].” Het gebroken Engels suggereert dat de acteur waarschijnlijk geen native speaker Engels is.
Deze maand ontdekten onderzoekers voor het eerst in het arsenaal van de groep malwareprogramma's op .Net onder de naam Karkoff. Ze zeggen dat malware "lichtgewicht" is en op afstand moet worden uitgevoerd via C&C server.
niettemin, Karkoff heeft een interessante eigenschap. Malware genereert een journaalbestand waarin alle uitgevoerde opdrachten met tijdmarkeringen worden opgeslagen. Zo, met behulp van dit dagboek kunnen Karkoff-slachtoffers nagaan wat en wanneer bepaalde gebeurtenissen hebben plaatsgevonden.
