Uit een nieuw Kaspersky-rapport blijkt dat een voortdurende kwaadaardige ‘multi-malware’-campagne meer dan 10.000 aanvallen heeft uitgevoerd die gericht waren op mondiale organisaties. De campagne maakt gebruik van achterdeurtjes, keyloggers en mijnwerkers. Met behulp van nieuwe kwaadaardige scripts die zijn ontworpen om beveiligingsfuncties uit te schakelen en het downloaden van malware gemakkelijker te maken, is het doel financiële uitbuiting.
Eén dimensie FBI-rapport Nadat de aanvallen waren aangekondigd, ontdekten Kaspersky-experts dat ze nog steeds aan de gang waren. De aanvallen die in het FBI-rapport worden beschreven, waren gericht op het infecteren van organisaties door gebruik te maken van mijnwerkers om bedrijfsmiddelen te gebruiken voor mijnbouw, keyloggers om gegevens te stelen en achterdeurtjes om toegang te krijgen tot het systeem.
Kaspersky-telemetrie laat zien dat er van mei tot oktober meer dan 10.000 aanvallen plaatsvonden die meer dan 200 gebruikers troffen. Deze aanvallen waren vooral gericht op organisaties zoals overheidsinstanties, landbouworganisaties en groothandels- en detailhandelsbedrijven. Cybercriminelen richtten zich vooral op slachtoffers in Rusland, Saoedi-Arabië, Vietnam, Brazilië en Roemenië, maar soms werden ook aanvallen waargenomen in de Verenigde Staten, India, Marokko en Griekenland.
Kaspersky heeft ook nieuwe kwaadaardige scripts ontdekt die systemen lijken te infiltreren door misbruik te maken van kwetsbaarheden in servers en werkstations. Eenmaal binnen proberen de scripts Windows Defender te manipuleren, beheerdersrechten te verkrijgen en de functionaliteit van verschillende antivirusproducten uit te schakelen.
Vervolgens proberen de scripts een achterdeur, keylogger en mining-tool te downloaden van een website die nu offline is. De mijnwerker gebruikt systeembronnen om verschillende cryptocurrencies te creëren, zoals Monero (XMR). Tegelijkertijd registreert de keylogger de volledige reeks toetsaanslagen die de gebruiker op het toetsenbord en de muisknoppen maakt, terwijl de achterdeur een verbinding tot stand brengt met de Command and Control (C2)-server om gegevens te ontvangen en te verzenden. Hierdoor kan de aanvaller op afstand de controle over het getroffen systeem overnemen.
“Deze multi-malware-campagne evolueert snel naarmate er nieuwe wijzigingen worden geïntroduceerd. De motivaties van de aanvallers lijken te zijn geworteld in het zoeken naar financieel gewin op welke manier dan ook. Ons onderzoek suggereert dat dit verder kan gaan dan cryptocurrency-mining. Dit kan activiteiten omvatten zoals” Dergelijke zoals het verkopen van gestolen inloggegevens op het dark web of het implementeren van geavanceerde scenario’s met behulp van backdoor-mogelijkheden”, zegt Kolesnikov, beveiligingsexpert bij Kaspersky. “Onze producten, zoals Kaspersky Endpoint Security, kunnen infectiepogingen detecteren, inclusief pogingen die wijzigingen bevatten.” Nieuw, dankzij uitgebreide beschermingsmogelijkheden.”
Technische analyse van de campagne is beschikbaar op Securelist.com.
Het is ook interessant:
leest hierEen gouden spaarvarken voor toekomstige generaties
leest hier: CrowdAboutNow heeft met succes $320.000 gefinancierd voor broodbakkerij Kometen in Amsterdam
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”