Computer Security APT-groepen combineren nu oude en nieuwe technieken om...

APT-groepen combineren nu oude en nieuwe technieken om actueel te blijven

Advanced Persistent Threats malware nieuwe technieken APT- groepen (Advanced Persistent Threat) blijven zoals gewoonlijk het WEB teisteren. Om relevant te blijven, mengen de verantwoordelijke actoren ouderwetse infectieformules met technische innovaties, waarbij ze zich bezighouden met populaire onderwerpen en thema's om hun social engineering-benaderingen te verbeteren. In de afgelopen paar maanden lijken DeathStalker en MosaicRepressor hun spel te hebben verbeterd met tools uit de andere uiteinden van het spectrum. Terwijl de eerste zich grotendeels aan hun geweren heeft vastgehouden, heeft de laatste geprobeerd de mal te doorbreken en malware-infecties naar een hoger niveau te tillen.

Als het niet kapot is, repareer het dan niet

Het is bijna twee jaar geleden dat de DeathStalker APT-bende een deuk in de webveiligheid van organisaties in de financiële en gerechtelijke systemen plaatste door phishing-programma's in te zetten om gevoelige gegevens te verzamelen. Hoewel DeathStalker dezelfde oude phishing-aanvallen blijft gebruiken bij het benaderen van potentiële slachtoffers, heeft de groep blijkbaar gaandeweg enkele veranderingen doorgevoerd. In plaats van dead drop resolvers en andere code-sharing-outlets te gebruiken om spionage te plegen, leiden de acteurs van DeathStalker de malware die in het spel is nu rechtstreeks door naar een speciale C & C-server. Bovendien lijken ze hun phishing-aanvallen te hebben geïntensiveerd om ook hun kansen op een succesvolle aanval te maximaliseren. Nieuwe PowerShell-implantaten die zijn ingesloten in e-mailbijlagen, lijken ook in de vergelijking te zijn opgenomen.

Hightech APT's

MosaicRegressor, aan de andere kant, beschikt over meer geavanceerde tools voor het verspreiden van malware. Dat APT misbruikt EUFI-kwetsbaarheden om de zaden van een infectie op firmwareniveau te planten. De malware die via MosaicRegressor is gedropt, is dus praktisch onmogelijk te verslaan, tenzij u de volledige gecompromitteerde UEFI-firmware op uw pc vervangt. Aangezien UEFI voorafgaand aan het besturingssysteem wordt geladen, doet de malware dat ook, met de implicatie dat het er nog steeds zal zijn, zelfs nadat u uw besturingssysteem hebt verwijderd of een geheel nieuwe harde schijf hebt aangeschaft. Tot dusverre zijn de belangrijkste doelen van de UEFI-op maat gemaakte APT zowel gouvernementele als niet-gouvernementele organisaties die de Zuidwest-Aziatische regio bezetten en op de een of andere manier banden hebben met Noord-Korea.

Bezig met laden...