Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Backdoors DropBook Backdoor

DropBook Backdoor

Tegen GoldSparrow in Backdoors
Vertalen naar:
Nederlands

De DropBook Backdoor is een van de twee achterdeurbedreigingen die door de hackers van de MoleRats APT (Advanced Persistent Threat) worden ingezet tegen hooggeplaatste politieke figuren en overheidsfunctionarissen in Egypte, de Palestijnse Gebieden, Turkije en de VAE. MoleRats is operationeel sinds ten minste 2012 en heeft blijvende interesse getoond in het Midden-Oosten en Noord-Afrika. De hackers gebruiken meestal phishing-e-mails die documenten gebruiken waarin belangrijke gebeurtenissen in de geselecteerde regio's worden besproken om gebruikers te verleiden een gecompromitteerd bestand te downloaden.

De DropBook Backdoor is een op Python gebaseerde dreiging die is gecompileerd met behulp van PyInstaller. Wanneer de dreiging volledig is ingezet, kan hij willekeurige commando's uitvoeren, aanvullende programma's ophalen en installeren en payloads bedreigen, en shell-commando's uitvoeren die door de hackers worden geleverd. Om te bevestigen dat het een geschikt doelwit infecteert, voert de DropBook Backdoor een controle uit op de aanwezigheid van de Arabische taal op de besmette computer. Een andere parameter die kan voorkomen dat de achterdeur wordt gestart, is als deze detecteert dat er geen WinRAR op het doel is geïnstalleerd. Onder de extra ladingen die door de DropBook Backdoor werden weggelaten, ontdekten infosec-onderzoekers het Quasar RAT -framework voor externe toegang. Hoewel Quasar een bedreigende tool is, biedt het cybercriminelen een gemakkelijke manier om keylogging, afluisteren en data-harvesting-routines op het geïnfecteerde systeem vast te stellen.

De MoleRats-hackers hebben de stijgende trend onder bedreigingsactoren om snel legitieme cloudservices en sociale platforms te gebruiken als onderdeel van de Command-and-Control (C2, C&C) -structuur van hun malware-creaties verwerkt. DropBook gebruikt inderdaad valse Facebook-accounts of Simmplenote als communicatiekanaal met de C2. Tegelijkertijd exploiteert het Dropbox als opslag voor de gestolen gebruikersgegevens en als hostingservice voor de extra spionage-payloads.

Trending

Meest bekeken

Bezig met laden...