Kyberzločinci ze skupiny Chafer cílí na ambasády
1. 2. 2019
Kyberzločinci ze skupiny Chafer cílí na ambasády

Odborníci Kaspersky Lab odhalili řadu pokusů o infikování zahraničních diplomatických subjektů v Íránu. Útočníci k tomu použili svůj vlastní spyware a aktualizovaný Remexi backdoor. V rámci kampaně také použili několik legitimních nástrojů. Přítomnost Remexi backdooru poukazuje na perskymluvící kyberšpionážní skupinu známou jako Chafer. Ta je spojována s kybernetickým sledováním jednotlivců pobývajících na území Blízkého východu. Skutečnost, že skupina nově cílí na ambasády, poukazuje na její přeorientování.

Nově sledované aktivity dotvářejí celkový obraz kyberzločinných akcí v tomto regionu. Hackeři se snaží využívat poměrně jednoduché malwary domácí výroby, které doplňují o veřejně dostupné nástroje. V tomto případě jsme tak mohli sledovat vylepšenou verzi Remexi backdooru – nástroje, který umožňuje vzdálené ovládání napadeného zařízení.

Remexi byl poprvé zaznamenán v roce 2015, kdy ho použila skupina Chafer pro kybernetické sledování individuálních uživatelů a menšího počtu organizací na Blízkém východě. Odborníci z Kaspersky Lab jsou do značné míry přesvědčeni o tom, že původci současných útoků pocházejí ze skupiny Chafer. Backdoor použitý v této kampani totiž vykazuje kódové podobnosti se známým Remexi.

Nově objevený Remexi malware je schopný provádět příkazy na dálku a získat tak z napadeného počítače screenshoty, data z prohlížeče včetně přihlašovacích údajů, historie prohlížení a jakýkoliv psaný text. Ukradená data následně útočníci dostanou z uživatelova zařízení díky legitimní aplikaci Microsoft Background Intelligent Transfer Service (BITS) – což je doplněk Windows, který umožňuje provádět aktualizace na pozadí. Tento trend, kdy kyberzločinci kombinují malware s přivlastněným nebo legitimním kódem, jim pomáhá šetřit čas i peníze, a navíc znesnadňuje jejich odhalení.

„Když mluvíme o státem řízených kyberšpionážních kampaních, většině lidí se vybaví pokročilé operace s komplexními nástroji, které vyvinuli počítačoví odborníci. Lidé odpovědní za tento útok jsou ale s největší pravděpodobností obyčejní systémoví administrátoři, kteří umějí programovat. Jejich kampaň totiž daleko více závisí na kreativním použití již existujících nástrojů než na nově naprogramovaných, pokročilých programech. Nicméně i relativně jednoduché nástroje mohou způsobit výrazné škody,“ varuje Denis Legezo, bezpečnostní odborník ze společnosti Kaspersky Lab.

Produkty Kaspersky Lab detekují aktualizovaný Remexi malware jako Trojan.Win32.Remexi a Trojan.Win32.Agent.

Více informací se dozvíte na blogu Securelist.com.