Grootschalige cybercrimecampagne ontdekt op kritieke infrastructuur in Japan
Een groep cybercriminelen blijkt al vijf jaar lang commerciële belangen en kritieke infrastructuur in Japan aan te vallen met een breed scala aan cyberaanvallen. Vermoedelijk wordt de groep gesteund door een overheid en gaat het om zogeheten ‘staatshackers’.
De langdurige cybercrimecampagne is ontdekt door het Cylance SPEAR team, de onderzoekstak van beveiligingsbedrijf Cylance. De campagne wordt ‘Operation Dust Storm’ genoemd en zou voornamelijk gericht zijn op het infiltreren van en verzamelen van gevoelige informatie bij Japanse bedrijven die actief zijn in de energiesector, olie- en gasindustrie, financiële sector, transportsector en de bouw.
Nog steeds actief
De activiteiten van de groep waren volgens Cylance in de vroege jaren van de campagne minder complex dan nu. Ook heeft de groep zich in deze fase op een bredere reeks doelwitten gericht. In een later stadium heeft de groep zijn aandacht exclusief gericht op Japanse bedrijven of Japanse divisies van buitenlandse organisaties en is het steeds complexere aanvallen gaan uitvoeren. De groep blijkt onder andere in staat te zijn Android smartphones en tablets te hacken. De aanvalscampagne zou nog steeds actief zijn.
De aanvallers maken gebruik van allerlei aanvallen. Denk hierbij aan spear phishing, maar ook aan het gebruik van zogeheten ‘waterholes’. Hierbij hacken aanvallers een website waarvan zij weten dat hun doelgroep die met regelmaat bezoekt, en voorzien deze website van malware die automatisch wordt geïnstalleerd op de machine van bezoekers. Daarnaast zou de groep gebruik maken van unieke backdoors en unieke zero-day kwetsbaarheden om toegang te krijgen tot zakelijke netwerken en Android apparaten.
Aanvallen in 2015
Cylance beschrijft verschillende aanvallen die de groep in 2015 heeft uitgevoerd op Japanse doelen. Het gaat hierbij onder andere om twee grootschalige aanvallen die in juli en oktober 2015 zijn opgezet. Deze zouden voornamelijk zijn gericht op een Japans dochterbedrijf van een Zuid-Koreaanse elektriciteitsbedrijf. Daarnaast blijkt de groep in 2015 de investeringstak van een grote Japanse autofabrikant te hebben aangevallen, waarbij gebruik is gemaakt van een malware die specifiek voor deze organisatie is ontworpen.
Meer details over Operation Dust Storm zijn hier te vinden.
Meer over
Lees ook
Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal
Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.
Proofpoint: rechtshandhaving verstoort LockBit
Het wereldwijde rechtshandhavingsinitiatief voor het verstoren van ransomware-operaties, onder leiding van het Verenigd Koninkrijk en de Verenigde Staten, is goed nieuws voor cyberverdedigers en organisaties die nog steeds last hebben van de gevolgen van LockBit-infecties.
"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint
Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.