image

Russisch sprekende personen aangevallen via Office-lek

woensdag 12 april 2017, 17:34 door Redactie, 1 reacties

Russisch sprekende personen zijn sinds januari van dit jaar aangevallen via een zerodaylek in Microsoft Office dat werd gebruikt om de FinSpy-malware en Latentbot te verspreiden. Beveiligingsbedrijf FireEye meldde eerder al dat kwaadaardige Office-documenten werden gebruikt om doelen met deze malware te infecteren. Nu zijn er ook meer details over de aanvallen en doelwitten gegeven.

Eind januari van dit jaar werden er documenten verstuurd die zich voordeden als een besluit van het Russische ministerie van Defensie en een handleiding die in de Volksrepubliek Donetsk gepubliceerd zou zijn. Zodra slachtoffers de documenten openden konden ze met de FinSpy-malware besmet raken. FinSpy is spionagesoftware die door de Gamma Group aan verschillende landen wordt verkocht. Volgens FireEye lijkt het erop dat FinSpy in combinatie met het zerodaylek in Office is gebruikt voor cyberspionage. Microsoft bracht gisterenavond een update voor de kwetsbaarheid uit.

Sinds maart van dit jaar worden de kwaadaardige Office-documenten ook gebruikt om de Latentbot te verspreiden. Deze malware is alleen waargenomen bij aanvallen door een financieel gemotiveerde aanvalsgroep en is in staat om wachtwoorden te stelen, harde schijven en gegevens te wissen, beveiligingssoftware uit te schakelen en aanvallers op afstand toegang tot het systeem te geven.

Nadat het zerodaylek op 7 april bekend was gemaakt werden op maandag 10 april allerlei spamberichten met een document verstuurd die ontvangers via het Office-lek met de Dridex banking Trojan probeerden te infecteren. Via deze malware kunnen gegevens voor internetbankieren worden gestolen. Hoe de criminelen achter deze spamrun de exploit in handen kregen is onbekend, maar de mogelijkheid bestaat dat de oorspronkelijke aanvallers het lek hebben gedeeld omdat de kwetsbaarheid dinsdag toch zou worden gepatcht.

Reacties (1)
13-04-2017, 02:28 door Anoniem
" Hoe de criminelen achter deze spamrun de exploit in handen kregen is onbekend, maar de mogelijkheid bestaat dat de oorspronkelijke aanvallers het lek hebben gedeeld omdat de kwetsbaarheid dinsdag toch zou worden gepatcht. "

Het is vrijwel zeker dat het niet de APT groep zelf was die de spam runs deed. Die spam runs zijn uitgevoerd in de gebruikelijke stijl van de spammers met dezelfde tools. Misschien probeerde de APT groep wat bij te verdienen. Veel zal het niet zijn geweest, want spammers kunnen goedkoop spammen met uiteindelijk hetzelfde effect.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.