image

Tibetanen doelwit van kwaadaardig PowerPoint-bestand

dinsdag 5 februari 2019, 10:37 door Redactie, 1 reacties

Tibetanen en mensen die de Tibetaanse overheid in ballingschap ondersteunen zijn het doelwit van een kwaadaardig PowerPoint-bestand geworden dat een remote access tool (RAT) probeert te installeren. De aanval begon met een e-mail die via de mailinglist van de Central Tibetan Administration (CTA) werd verstuurd. Een organisatie die de Tibetaanse overheid in ballingschap vertegenwoordigt. Via de mailinglist wordt nieuws over Tibet verspreid.

De e-mail heeft als bijlage het bestand "Tibet-was-never-a-part-of-China.ppsx" en claimt een presentatie te bevatten om de 60ste verjaardag van de Dalai Lama te vieren. Het PowerPoint-bestand is eigenlijk een kopie van een legitiem pdf-document van de CTA, dat vorig jaar november verscheen. Het PowerPoint-bestand bevat een exploit die misbruik maakt van een oude kwetsbaarheid. in Microsoft Office. Het beveiligingslek werd op 11 april 2017 door Microsoft gepatcht.

In het geval gebruikers deze update niet hebben geïnstalleerd en het PowerPoint-bestand openen wordt er een RAT geïnstalleerd. Via de remote access tool krijgen aanvallers volledige controle over het systeem. Volgens Cisco heeft iedereen op de mailinglist van de Central Tibetan Administration de e-mail ontvangen. De mailinglist wordt beheerd door een Indiaas bedrijf. De aanvallers wijzigden de "Reply-To" header die CTA-mailings normaal gebruiken, zodat alle reacties naar een e-mailadres van de aanvallers gaan.

Verder stellen onderzoekers van Cisco dat gezien de aard van de malware en de beoogde doelwitten, het de aanvallers waarschijnlijk om spionage is te doen in plaats van financieel gewin.

Image

Reacties (1)
05-02-2019, 13:06 door Anoniem
Zulke aanvallen zijn ongetwijfeld een vrijwel dagelijkse gebeurtenis in Tibet en een paar andere Chinese regio's en Chineestalige landen.

In andere frequentie is dat ook zo voor westerse doelen. Grappig is dat ze bij dit soort aanvallen wel eens onderwerpen gebruiken die het westen niet meteen interesse opwekken, zoals Zuid-Oost Aziatische onderwerpen. Er is duidelijk verschil in bekwaamheid te constateren bij de uitvoerders. De in-your-face werkwijze bij deze aanval is ook opvallend.

Sommige mailing lists werken zo dat alle berichten zijn toegestaan als de verzender matcht. Die afzender (in envelope en headers) kun je makkelijk vervalsen. Dat gebeurde Kaspersky ook een keer, toen dachten ze dat ze gehackt waren, wat niet nodig is bij dit type mailing list.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.