Nettkriminell gruppe som er ansvarlig for driften av DNSpionage ble mer selektiv i å velge ofre og bevæpnet seg med ny skadelig programvare Karkoff for å forbedre effektiviteten til nettangrepene deres.
ENifølge FireEye, DNSpionasje-kampanjen startet i slutten av april 2017 og for det ansvarlige nettkriminelle som handler i iranske myndigheters interesser.I de tidligere angrepene, med bruk av falske nettsider og DNS-pauser, inntrengere omdirigerte trafikk fra legitime domener på malware, for sistnevnte ble brukt gratis digitale sertifikater La oss kryptere.
Nå gruppe bevæpnet med nytt instrument for fjernadministrasjon med støtte for forbindelse med C&C-servere gjennom HTTP og DNS, forskere fra Cisco Talos.
Siden utgivelsen av Cisco Talos første rapport om DNSpionage i slutten av 2018, nettkriminelle forbedret taktikken sin.
"Vi oppdaget noen endringer på skuespillerne’ taktikk, teknikker og prosedyrer (ttps), inkludert bruk av en ny rekognoseringsfase som selektivt velger hvilke mål som skal infiseres med skadelig programvare.", – Cisco Talos-forskere rapporterte.
Ved hjelp av spionasjemetoder, kriminelle klarer å omgå beskyttelsen og lage digitale fingeravtrykk av systemet de angriper.
Kriminelle velger sine ofre svært nøye og angriper dem ved bruk av målrettet fiske. De sender sine ofre e-poster med vedlagte Microsoft Word- og Excel-dokumenter som inneholder malware-makroer. Under angrepet, malware-programmer gjennom makroene endrer navn for «taskwin32.exe» og lag planlagt oppgave «onedrive-oppdatering v10.12.5» for å sikre at skadelig programvare vil vedvare i et system.
I DNS Spying, når du åpner Excel-dokumentet, brukere blir møtt med fornærmelsen, “haha du er esel [sic].” Den ødelagte engelsken antyder at skuespilleren neppe har engelsk som morsmål.
Denne måneden oppdaget forskere først i arsenalet til gruppens skadevareprogram på .Net under navnet Karkoff. De sier at skadelig programvare er "lett" og trenger ekstern ytelse gjennom C&C-server.
likevel, Karkoff har en interessant funksjon. Skadelig programvare genererer journalfil hvor alle utførte kommandoer lagres med tidsmerker. Så, med bruk av denne journalen Karkoff ofre kan sjekke hva og når skjedde visse hendelser.
