'Duizend domeinen via gehackt marketingbedrijf voorzien van malafide code'
Meer dan duizend domeinen zijn in augustus via een gehackt digitaal marketingbedrijf voorzien van malafide code, zo heeft Google vandaag bekendgemaakt. De code probeerde bezoekers een update voor Google Chrome te laten downloaden die in werkelijkheid malware was. Volgens Google wisten aanvallers het niet nader genoemde marketingbedrijf uit Taiwan meerdere keren te compromitteren.
De groep aanvallers wordt door Google APT24 genoemd en zou een aan China gelieerde threat actor zijn. De afgelopen jaren wist de groep volgens Google meer dan twintig websites te compromitteren. Vervolgens werd aan deze websites kwaadaardige code toegevoegd. Bezoekers van deze websites werden eerst gefingerprint en kregen, indien aan de vereiste condities werd voldaan, een malafide pop-up te zien die een zogenaamde update aanbood. Wanneer gebruikers besloten om de "update" te downloaden raakte hun systeem besmet met malware.
Vorig jaar juli wisten de aanvallers een Taiwanees digitaal marketingbedrijf te compromitteren. Vervolgens werd er malware toegevoegd aan een JavaScript library die het bedrijf aan klanten aanbiedt. In juni van dit jaar werd het marketingbedrijf opnieuw gecompromitteerd en opnieuw aangeboden JavaScript aangepast. In dit geval zorgden de aanvallers ervoor dat de malafide JavaScript op slechts één domein werd geladen. Deze beperking werd echter in augustus voor een periode van tien dagen opgeheven, waardoor de malafide code op meer dan duizend domeinen actief werd.
Naast de bovengenoemde aanvallen verstuurt APT24 ook phishingmails, waarbij ze zich bijvoorbeeld voordoen als een dierenbeschermingsorganisatie, aldus Google. De phishingmails zijn ook van trackingpixels voorzien, om zo te controleren dat de e-mail is geopend en het doelwit mogelijk interesse in het onderwerp heeft en verder kan worden aangevallen.
Volgens Google laat de jarenlange campagne zien dat de groep zich aan het ontwikkelen is. "Het gebruik van geavanceerde technieken zoals supply chain compromise, meerlaagse social engineering en misbruik van legitieme clouddiensten toont de mogelijkheden van de aanvaller voor volhardende en adaptieve spionage."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?