Istraživači kompanije Kaspersky Lab otkrili su više pokušaja da se strane diplomatske jedinice u Iranu zaraze amaterskim špijunažnim softverom. Napadi su izvršavani pomoću ažuriranih Remexi bekdorova. Tokom ove kampanje takođe je korišćeno i nekoliko legalnih alata.
Remexi bekdor je povezan sa osumnjičenom sajber-špijunažnom grupom sa persijskog govornog područja poznatijom kao Chafer, ranije povezivanom sa sajber nadzorom pojedinaca na Bliskom istoku. Ciljanje ambasada bi moglo ukazivati na novi fokus ove grupe.
Operacija ukazuje na to kako akteri pretnji u regionima u razvoju organizuju kampanje protiv interesnih meta, pomoću relativno osnovnih, amaterskih malvera u kombinaciji sa javno dostupnim alatima. U ovom slučaju, napadači su koristili napredniju verziju Remexi bekdora – alata koji omogućava daljinsko upravljanje žrtvinim uređajem.
Remexi je prvi put otkriven 2015. godine, kada ga je sajber-špijunažna grupa po imenu Chafer koristila za operacije sajber-nadzora pojedinaca i određenih organizacija širom Bliskog istoka. Činjenica da bekdor upotrebljen u novoj kampanji ima sličnosti u kodu sa poznatim uzorcima Remexi virusa i analiza ciljanih meta naveli su istraživače kompanije Kaspersky Lab da ovaj bekdor povežu sa grupom Chafer.
Nedavno otkriveni Remexi malver je u stanju da sprovede komande na daljinu i preuzme skrinšotove, podatke pretraživača, uključujući i poverljive korisničke podatake, pristupne podatke i istoriju, kao i bilo koji kucani tekst. Ukradeni podaci su filtrirani korišćenjem legalne Microsoft Background Intelligent Transfer (BITS) aplikacije – Windows komponente koja je dizajnirana da omogući pozadinska Windows ažuriranja. Trend ka kombinovanju malvera sa prisvojenim ili legitimnim kodom pomaže napadačima da istovremeno uštede vreme i resurse prilikom kreiranja malvera i da učine atribuciju komplikovanijom.
“Kada govorimo o sajber-špijunažnim kampanjama najverovatnije sponozorisanim od strane države, ljudi često misle na napredne operacije za koje se koriste kompleksni alati koje su razvili stručnjaci. Međutim, ljudi koji stoje iza ove spyware kampanje više liče na administratore sistema nego na sofisticirane aktere pretnji: oni znaju kako da kodiraju, ali njihova kampanja se više oslanja na kreativnu upotrebu alata koji već postoje nego na nove naprednije funkcije ili složenu strukturu koda. Međutim, čak i relativno jednostavni alati mogu izazvati značajnu štetu, tako da pozivamo organizacije da zaštite svoje dragocene informacije i sisteme od svih nivoa pretnji i koriste programe koji daju informacije o stanju pretnji kako bi shvatili na koji način se taj segment razvija” – izjavio je Denis Legezo, bezbednostni istraživač u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab detektovali su ažurirani Remexi malver kao Trojan.Win.32.Remexi i Trojan.Win32.Agent.
Za više informacija o proizvodima i uslugama koji pružaju informacije o pretnjama kompanije Kaspesky Lab, kontaktirajte: intelreports@kaspersky.com
Kako da se se zaštitite od ciljanih špijunskih softvera:
· Koristite proverena, korporativna bezbednosna rešenja sa anti-target sposobnostima i informacijama o stanju pretnji, kao što je rešenje Kaspersky Threat Management and Defense. Ovaj program je u stanju da uoči i zaustavi napredne ciljane napade kroz analizu mrežnih nedostataka i da sajber-bezbedonosnim timovima omogući kompletnu vidljivost na mreži i automatizaciju odgovora.
· Pokrenite inicijative za podizanje svesti o bezbednosti koje bi osposobile zaposlene da savladaju veštinu prepoznavanja sumnjivih poruka. I-mejl je polazna tačka ciljanih napada, a korisnicima Kaspersky Lab programa će od velike koristi biti Kaspersky Security Awareness treninzi.
· Obezbedite vašem bezbednosnom timu pristup najnovijim informacijama o stanju pretnji, kako bi išli u korak sa najnovijim taktikama i alatima koje korise sajber kriminalci i kako bi poboljšali sigurnosne kontrole koje su već u upotrebi.