Data: Środa, 20 lutego 2019, 18:25

Ugrupowanie cyberszpiegowskie Chafer atakuje ambasady przy użyciu zmodyfikowanego oprogramowania spyware

Badacze z Kaspersky Lab wykryli liczne próby infekowania placówek dyplomatycznych w Iranie przy użyciu zmodyfikowanego szkodliwego programu Remexi oraz kilku legalnych narzędzi. Backdoor Remexi jest powiązany z perskojęzycznym ugrupowaniem cyberszpiegowskim o nazwie Chafer, które wcześniej łączono z cyberinwigilacją osób prywatnych i organizacji na Bliskim Wschodzie. Atakowanie ambasad mogłoby sugerować, że ugrupowanie koncentruje się na nowych celach.

Wykryta operacja wskazuje na to, że cyberugrupowania w regionach rozwijających się przeprowadzają kampanie na swoje cele przy użyciu stosunkowo prostego szkodliwego oprogramowania „własnej produkcji” w połączeniu z publicznie dostępnymi narzędziami. W omawianym przypadku atakujący wykorzystali zmodyfikowaną wersję backdoora Remexi – narzędzia umożliwiającego zdalne zarządzanie maszynami ofiar.

Szkodliwe oprogramowanie Remexi zostało po raz pierwszy wykryte w 2015 r., gdy cyberszpiegowskie ugrupowanie o nazwie Chafer wykorzystywało je w operacji cyberinwigilacji, której celem były osoby prywatne, jak również liczne organizacje na Bliskim Wschodzie. Podobieństwa w kodzie pomiędzy wykorzystanym w nowej kampanii backdoorem a znanymi próbkami Remexi, a także profil atakowanych ofiar, pozwalają badaczom z Kaspersky Lab podejrzewać, że za nową kampanią stoi właśnie to ugrupowanie.

Nowo wykryta wersja szkodnika Remexi potrafi między innymi zdalnie wykonywać polecenia oraz przechwytywać zrzuty ekranu, dane przeglądarki, w tym dane uwierzytelniające użytkowników, dane oraz historię logowania, jak również wszelkie znaki wprowadzane z klawiatury zainfekowanego komputera. Skradzione dane są wyprowadzane przy użyciu legalnej usługi Microsoft Background Intelligent Transfer Service (BITS) – komponentu systemu Windows umożliwiającego instalowanie aktualizacji w tle. Obserwowany trend łączenia szkodliwego oprogramowania z przywłaszczonym lub legalnym kodem pomaga atakującym zarówno zaoszczędzić czas i zasoby podczas tworzenia szkodliwego oprogramowania, jak i utrudnić przypisanie autorstwa.

Produkty firmy Kaspersky Lab wykrywają uaktualnione szkodliwe oprogramowanie Remexi jako Trojan.Win32.Remexi oraz Trojan.Win32.Agent.