Perusahaan-perusahaan utilitas AS terkena serangan phishing yang disponsori negara
Tiga entitas AS dari sektor utilitas ditargetkan oleh kampanye tombak-phishing yang menggunakan malware baru yang menampilkan modul Trojan akses jarak jauh (RAT) dengan tujuan memberi penyerang kontrol admin sistem yang terinfeksi.
Malware baru bernama LookBack ditemukan oleh para peneliti dari Proofpoint's Threat Insight Team setelah menganalisis serangan phishing dan muatan berbahaya mereka.
Dalam posting blog yang merinci penemuan mereka, para peneliti menjelaskan bagaimana email phishing menyamar sebagai dewan lisensi teknik yang berbasis di AS untuk muncul sebagai email yang sah, dengan mengatakan:
“Email phishing tampaknya meniru dewan lisensi teknik yang berbasis di AS dengan email yang berasal dari apa yang tampaknya merupakan domain yang dikendalikan aktor, nceess (.) Com. Nceess (.) Com diyakini sebagai peniruan domain yang dimiliki oleh Dewan Penguji Nasional AS untuk Rekayasa dan Survei. Email tersebut berisi lampiran Microsoft Word berbahaya yang menggunakan makro untuk menginstal dan menjalankan malware yang oleh peneliti Proofpoint dijuluki "LookBack."
Malware LookBack
Email phishing, yang diterima utilitas pada 19 Juli dan 25 Juli, semuanya dikirim dari ncess.com yang dikendalikan oleh penyerang tetapi Proofpoint juga menemukan bahwa mereka meniru beberapa badan lisensi teknik dan listrik AS lainnya dengan domain penipuan. Karena hanya satu dari domain yang digunakan dalam serangan phishing tombak baru-baru ini, ada kemungkinan besar bahwa kampanye lain yang menggunakan taktik serupa akan diluncurkan di masa depan.
Malware yang dijatuhkan oleh kampanye phising adalah Trojan akses jarak jauh yang dikembangkan di C ++ yang memungkinkan penyerang untuk sepenuhnya mengendalikan mesin yang dikompromikan begitu mereka terinfeksi.
Menurut Proofpoint, Trojan akses jarak jauh LookBack akan membantu penyerang dalam menghitung layanan, proses melihat, sistem dan file data, menghapus file dan menjalankan perintah, mengambil screenshot, memindahkan dan mengklik mouse dan bahkan dapat me-reboot mesin dan menghapus sendiri dari host yang terinfeksi.
Malware LookBack juga berisi beberapa komponen termasuk alat proxy perintah dan kontrol yang disebut GUP, pemuat malware, modul komunikasi, dan komponen Trojan akses jarak jauh.
Proofpoint juga mencatat bahwa serangan phishing-tombak yang diluncurkan terhadap utilitas AS mungkin merupakan pekerjaan aktor ancaman persisten lanjutan (APT) yang disponsori negara karena tumpang tindih dengan kampanye historis lain dan makro yang digunakan.
Melalui Komputer Bleeping
