Tibetanen doelwit van kwaadaardig PowerPoint-bestand
Tibetanen en mensen die de Tibetaanse overheid in ballingschap ondersteunen zijn het doelwit van een kwaadaardig PowerPoint-bestand geworden dat een remote access tool (RAT) probeert te installeren. De aanval begon met een e-mail die via de mailinglist van de Central Tibetan Administration (CTA) werd verstuurd. Een organisatie die de Tibetaanse overheid in ballingschap vertegenwoordigt. Via de mailinglist wordt nieuws over Tibet verspreid.
De e-mail heeft als bijlage het bestand "Tibet-was-never-a-part-of-China.ppsx" en claimt een presentatie te bevatten om de 60ste verjaardag van de Dalai Lama te vieren. Het PowerPoint-bestand is eigenlijk een kopie van een legitiem pdf-document van de CTA, dat vorig jaar november verscheen. Het PowerPoint-bestand bevat een exploit die misbruik maakt van een oude kwetsbaarheid. in Microsoft Office. Het beveiligingslek werd op 11 april 2017 door Microsoft gepatcht.
In het geval gebruikers deze update niet hebben geïnstalleerd en het PowerPoint-bestand openen wordt er een RAT geïnstalleerd. Via de remote access tool krijgen aanvallers volledige controle over het systeem. Volgens Cisco heeft iedereen op de mailinglist van de Central Tibetan Administration de e-mail ontvangen. De mailinglist wordt beheerd door een Indiaas bedrijf. De aanvallers wijzigden de "Reply-To" header die CTA-mailings normaal gebruiken, zodat alle reacties naar een e-mailadres van de aanvallers gaan.
Verder stellen onderzoekers van Cisco dat gezien de aard van de malware en de beoogde doelwitten, het de aanvallers waarschijnlijk om spionage is te doen in plaats van financieel gewin.
In andere frequentie is dat ook zo voor westerse doelen. Grappig is dat ze bij dit soort aanvallen wel eens onderwerpen gebruiken die het westen niet meteen interesse opwekken, zoals Zuid-Oost Aziatische onderwerpen. Er is duidelijk verschil in bekwaamheid te constateren bij de uitvoerders. De in-your-face werkwijze bij deze aanval is ook opvallend.
Sommige mailing lists werken zo dat alle berichten zijn toegestaan als de verzender matcht. Die afzender (in envelope en headers) kun je makkelijk vervalsen. Dat gebeurde Kaspersky ook een keer, toen dachten ze dat ze gehackt waren, wat niet nodig is bij dit type mailing list.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.