Verschillende servicecentra van Samsung waar apparatuur van de fabrikant wordt gerepareerd zijn het doelwit van gerichte aanvallen geworden, zo laten securitybedrijven Fortinet en TG Soft weten. De aanvallen waren gericht tegen servicecentra in Rusland en Italië en vonden in maart en april plaats.

Bij de aanvallen tegen servicecentra in Rusland werd een e-mail verstuurd die zogenaamd van Samsung afkomstig was. Als bijlage hadden de aanvallers een Excel-document toegevoegd dat een exploit bevatte. Deze exploit maakte misbruik van een kwetsbaarheid in Microsoft Office die op 14 november vorig jaar door Microsoft was gepatcht. Wanneer gebruikers de beschikbare beveiligingsupdate van Microsoft niet hadden geïnstalleerd en het document openden werd er malware op het systeem geplaatst waarmee de aanvallers volledige controle over het systeem kregen.

De aanvallen in Rusland vonden eind maart plaats. Begin april waren de servicecentra van Samsung Italië het doelwit. Wederom leek de aanvalsmail van Samsung afkomstig te zijn. De aanvallers hadden de naam en het telefoonnummer van een bestaande servicemanager van Samsung Italië als afzender opgegeven. De e-mail bevatte een Excel-document met zogenaamd werkgerelateerde informatie.

In werkelijkheid was ook dit Excel-document van een exploit voorzien die van dezelfde kwetsbaarheid misbruik maakte als de aanvallen in Rusland. Ook via deze exploit werd er malware geïnstalleerd waarmee de aanvallers het systeem konden overnemen. Volgens onderzoekers van TG Soft zijn naast servicecentra in Rusland en Italië mogelijk ook servicecentra in andere landen aangevallen.