Industriespionage Bande sendet schädlichen e-Mails in Sicherheit Herstellernamen

2013-12-28  |  Comebuy News

Eine Cybercrime-Bande, die in erster Linie richtet sich an Unternehmen aus der chemischen Industrie hat eine neue Serie von Angriffen, bei denen Malware-beladene e-Mails, die angeblich von Symantec, den Sicherheitsanbieter verantwortlich für seinen Betrieb in diesem Jahr auszusetzen.

Comebuy Verwandte Artikel: Industriespionage Bande sendet schädlichen e-Mails in der Sicherheitsanbieter name'Nitro' Hacker Verwendung hat Malware, chemische, Verteidigung zu stehlen, SecretsHackers kann jahrelang handwerklichen DuquHackers Adobe Reader FlawHackers nutzen weiterhin, zu schlagen, Öl, Gas, Verteidigung Unternehmen in Norwegen

Nannte die Nitro-Angriffe, die Bande original Industriespionage Anstrengungen begann irgendwann im Juli und dauerte bis September. Die Angreifer Modi Operandi beteiligt, Versenden von e-Mails, die eine Variante der Poison Ivy Hintertür durchgeführt und wurden speziell zusammengestellt für jede gezielte Unternehmen.

Trotz öffentlich ausgesetzt von Symantec in einem Oktober-Bericht, die Bande nicht auf seine Pläne aufgeben und in der Tat, viele seiner Techniken stecken.

"Die gleiche Gruppe ist noch aktiv, noch targeting Chemieunternehmen und immer noch mit der gleichen Social-Engineering-Modus Operandi", sagte Sicherheitsexperten von Symantec in einem Blog-Post am Montag.

"Das heißt, sie schicken Ziele ein Passwort-geschütztes Archiv per e-Mail, die eine schädliche ausführbare Datei enthält," sie hinzugefügt.

Der interessante Aspekt über die Bande neue Angriffe ist, dass sie Symantecs-Bericht verwendet werden, um Opfer zu betrügen. Eine e-Mail von der Sicherheitsfirma abgefangen wurde zusammengestellt, um scheinen, als ob es wurden von der Abteilung für technischen Support geschickt und Empfänger warnt, dass viele Unternehmen Computer mit Poison Ivy Virus befallen wurden.

Die Rogue-Nachrichten behaupten, dass ein spezielle Removal-Tool von Symantec veröffentlicht wurde, um zu helfen, ihren Kunden ihre Systeme zu scannen. An die e-Mail angehängt ist ein 7-Zip-Archiv, genannt the_nitro_attackspdf.7z, enthält eine schädliche ausführbare Datei und eine Kopie der Originalbericht von Symantec über Nitro.

"Die Angreifer versuchen, gewisse Gültigkeit ihrer e-Mail zu leihen senden ein Dokuments auf Ziele, die ihre ganz eigene Aktivität beschreibt," sagte Symantec. Die ausführbare Datei ist eine neue Variante von Poison Ivy, die einem Befehl und Control (C & C) gehostet vom gleichen Anbieter, die in den vorhergehenden Angriffe verwendet Server.

Die gefälschte Symantec-Warnung ist nicht die einzige Verlockung, den, die diese Bande benutzt. Anderen schädlichen e-Mails, die in der gleichen Kampagne werden behaupten, stammen von Adobe Systems und eine falsche Aktualisierung für Adobe Reader enthalten.

Symantec gelungen, take down den Domain-Namen verwendet, die durch die neuen C & C Server und alarmierte die hosting-Anbieter. Jedoch ist angesichts der Entschlossenheit, die bisher durch diese Angreifer gezeigt, es unwahrscheinlich, dass die Nitro-Angriffe zu stoppen, werden.

Primäres Ziel des Konzerns ist Domänenadministrator-Anmeldeinformationen, auch zu stehlen, Zugriff auf Systeme, die geistiges Eigentum zu speichern. Nachdem er die "gewünschte" IP-Adresse identifiziert, kopieren sie die Angreifer Archive auf internen Systemen, die als staging-Server, mit dem Inhalt von dort an einen Standort außerhalb der gefährdeten Organisation laut Symantec Oktober Bericht hochgeladen.

Lesen Sie mehr über WAN-Verbindung in Network World Wide Area Network Abschnitt.

« Back