Istraživači kompanije Kaspersky Lab otkrili su više pokušaja da se strane diplomatske jedinice u Iranu zaraze amaterskim špijunažnim softverom. Napadi su izvršavani pomoću ažuriranih Remexi bekdorova. Tokom ove kampanje takođe je korišćeno i nekoliko legalnih alata.
Remexi bekdor je povezan sa osumnjičenom sajber-špijunažnom grupom sa persijskog govornog područja poznatijom kao Chafer, ranije povezivanom sa sajber nadzorom pojedinaca na Bliskom istoku. Ciljanje ambasada bi moglo ukazivati na novi fokus ove grupe.
Operacija ukazuje na to kako akteri pretnji u regionima u razvoju organizuju kampanje protiv interesnih meta, pomoću relativno osnovnih, amaterskih malvera u kombinaciji sa javno dostupnim alatima. U ovom slučaju, napadači su koristili napredniju verziju Remexi bekdora – alata koji omogućava daljinsko upravljanje žrtvinim uređajem.
Remexi je prvi put otkriven 2015. godine, kada ga je sajber-špijunažna grupa po imenu Chafer koristila za operacije sajber-nadzora pojedinaca i određenih organizacija širom Bliskog istoka. Činjenica da bekdor upotrebljen u novoj kampanji ima sličnosti u kodu sa poznatim uzorcima Remexi virusa i analiza ciljanih meta naveli su istraživače kompanije Kaspersky Lab da ovaj bekdor povežu sa grupom Chafer.
Nedavno otkriveni Remexi malver je u stanju da sprovede komande na daljinu i preuzme skrinšotove, podatke pretraživača, uključujući i poverljive korisničke podatake, pristupne podatke i istoriju, kao i bilo koji kucani tekst. Ukradeni podaci su filtrirani korišćenjem legalne Microsoft Background Intelligent Transfer (BITS) aplikacije – Windows komponente koja je dizajnirana da omogući pozadinska Windows ažuriranja. Trend ka kombinovanju malvera sa prisvojenim ili legitimnim kodom pomaže napadačima da istovremeno uštede vreme i resurse prilikom kreiranja malvera i da učine atribuciju komplikovanijom.
Proizvodi kompanije Kaspersky Lab detektovali su ažurirani Remexi malver kao Trojan.Win.32.Remexi i Trojan.Win32.Agent.
Kako da se se zaštitite od ciljanih špijunskih softvera:
- Koristite proverena, korporativna bezbednosna rešenja sa anti-target sposobnostima i informacijama o stanju pretnji, kao što je rešenje Kaspersky Threat Management and Defense. Ovaj program je u stanju da uoči i zaustavi napredne ciljane napade kroz analizu mrežnih nedostataka i da sajber-bezbedonosnim timovima omogući kompletnu vidljivost na mreži i automatizaciju odgovora.
- Pokrenite inicijative za podizanje svesti o bezbednosti koje bi osposobile zaposlene da savladaju veštinu prepoznavanja sumnjivih poruka. I-mejl je polazna tačka ciljanih napada, a korisnicima Kaspersky Lab programa će od velike koristi biti Kaspersky Security Awareness
- Obezbedite vašem bezbednosnom timu pristup najnovijim informacijama o stanju pretnji, kako bi išli u korak sa najnovijim taktikama i alatima koje korise sajber kriminalci i kako bi poboljšali sigurnosne kontrole koje su već u upotrebi.
Celu verziju izveštaja pročitajte na Securelist.com.