Europese internetgebruikers zijn eerder dit jaar het doelwit van een zero day-aanval van twee verschillende groepen geworden, waarbij ook een nieuwe versie van de overheidsspyware FinFisher werd ingezet. De twee aanvalsgroepen worden door Microsoft 'Promethium' en 'Neodymium' genoemd.
In tegenstelling tot andere groepen die systemen voor economische spionage of financiële redenen aanvallen, hebben deze twee groepen het vooral op informatie over bepaalde personen voorzien. De twee groepen hebben daarnaast gemeen dat ze allebei rond hetzelfde moment een zero day-lek in Adobe Flash Player gebruikten om gebruikers in een zelfde gebied aan te vallen. Alleen de aangevallen personen hebben geen overeenkomsten, aldus Microsoft.
Beide groepen maakten gebruik van hetzelfde onbekende lek in Adobe Flash Player om gebruikers met malware te infecteren. Promethium stuurde naar bepaalde gebruikers via instant messenger linkjes die naar een kwaadaardig Word-document wezen. Het document bevatte een embedded Flash-bestand dat de kwetsbaarheid aanviel en vervolgens malware installeerde. Dezelfde malware werd eerder al tegen Nederlandse en Belgische WinRAR-gebruikers ingezet.
Ook in het geval van de Neodymium-groep werd er met kwaadaardige Word-documenten gewerkt. Deze documenten werden echter via e-mail verstuurd. In het geval de aanval succesvol was werd de Wingbird-backdoor geïnstalleerd. Volgens Microsoft lijkt deze backdoor erg veel op FinFisher, spyware die speciaal voor overheden wordt ontwikkeld. Uit de statistieken blijkt dat Wingbird vooral tegen personen en individuele gebruikers wordt ingezet in plaats van dat het tegen netwerken wordt gebruikt.
Microsoft ontdekte tussen mei en november van dit jaar tientallen infecties, voornamelijk in Turkije. "FinFisher claimt dat het de software alleen aan overheidsinstanties verkoopt voor gebruik bij gerichte en rechtmatige strafonderzoeken. Het is waarschijnlijk dat de Wingbird-malware een relatief nieuwe versie van de commerciële spyware is. Het gebruik van FinFisher suggereert dat de exploit en spear phishingcampagne om die te verspreiden het werk zijn van een aanvalsgroep die waarschijnlijk banden met een statelijke actor heeft", aldus Microsoft in de nieuwste editie van het Security Intelligence Report (SIR). Naast Turkije werden er ook infecties in Duitsland, Groot-Brittannië en de Verenigde Staten aangetroffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.