image

Russische organisaties doelwit Word-malware

woensdag 12 december 2012, 16:23 door Redactie, 2 reacties

Verschillende Russische organisaties in de telecom-, informatie-, onderwijs- en ruimtevaartindustrie zijn het doelwit geworden van een aanval die naar Korea lijkt te wijzen. Beveiligingsbedrijf FireEye ontdekte een kwaadaardig Word-bestand dat het voornamelijk op Russische doelwitten had voorzien. Het kwaadaardige bestand opent een echt Word-document, maar installeert in de achtergrond een Trojaans paard.

Naast het aanvallen van Russische doelwitten, valt de malware ook op doordat het Command & Control-kanaal op een legitiem Koreaans forum is verstopt. De malware beschikt ook over een back-up mechanisme, voor het geval het forum onbereikbaar is. In dat geval wordt de connectiviteit via een Koreaanse Yahoo! mailserver gecontroleerd.

Datadiefstal
Eenmaal actief steelt de malware allerlei inloggegevens van het systeem, waaronder door Firefox opgeslagen wachtwoorden en worden ook Microsoft Outlook accounts buitgemaakt. Wie er achter de aanval zit durft FireEye niet te zeggen. "We hebben veel aanwijzingen gevonden die op Korea als mogelijke oorsprong van de aanval duiden."

Zo worden Koreaanse fonts, Koreaanse SMTP mailserver, een Koreaans forum en een link naar een Koreaanse Wikipedia pagina gebruikt. Hoeveel machines met de malware besmet zijn geraakt is onbekend.

Reacties (2)
12-12-2012, 17:31 door 0101
Dit kan natuurlijk ook een afleidingsmanoeuvre zijn. Of het kan de aanvallers gewoon niets schelen (waarschijnlijker).
12-12-2012, 20:37 door Anoniem
"We hebben veel aanwijzingen gevonden die op Korea als mogelijke oorsprong van de aanval duiden."
Zo worden Koreaanse fonts, Koreaanse SMTP mailserver, een Koreaans forum en een link naar een Koreaanse Wikipedia pagina gebruikt..

Verder staat er "Made in Korea" en "Copyright by Korean Industries Inc." in. Duidelijk Amerikaanse malware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.