Grootschalige cybercrimecampagne ontdekt op kritieke infrastructuur in Japan
Een groep cybercriminelen blijkt al vijf jaar lang commerciële belangen en kritieke infrastructuur in Japan aan te vallen met een breed scala aan cyberaanvallen. Vermoedelijk wordt de groep gesteund door een overheid en gaat het om zogeheten ‘staatshackers’.
De langdurige cybercrimecampagne is ontdekt door het Cylance SPEAR team, de onderzoekstak van beveiligingsbedrijf Cylance. De campagne wordt ‘Operation Dust Storm’ genoemd en zou voornamelijk gericht zijn op het infiltreren van en verzamelen van gevoelige informatie bij Japanse bedrijven die actief zijn in de energiesector, olie- en gasindustrie, financiële sector, transportsector en de bouw.
Nog steeds actief
De activiteiten van de groep waren volgens Cylance in de vroege jaren van de campagne minder complex dan nu. Ook heeft de groep zich in deze fase op een bredere reeks doelwitten gericht. In een later stadium heeft de groep zijn aandacht exclusief gericht op Japanse bedrijven of Japanse divisies van buitenlandse organisaties en is het steeds complexere aanvallen gaan uitvoeren. De groep blijkt onder andere in staat te zijn Android smartphones en tablets te hacken. De aanvalscampagne zou nog steeds actief zijn.
De aanvallers maken gebruik van allerlei aanvallen. Denk hierbij aan spear phishing, maar ook aan het gebruik van zogeheten ‘waterholes’. Hierbij hacken aanvallers een website waarvan zij weten dat hun doelgroep die met regelmaat bezoekt, en voorzien deze website van malware die automatisch wordt geïnstalleerd op de machine van bezoekers. Daarnaast zou de groep gebruik maken van unieke backdoors en unieke zero-day kwetsbaarheden om toegang te krijgen tot zakelijke netwerken en Android apparaten.
Aanvallen in 2015
Cylance beschrijft verschillende aanvallen die de groep in 2015 heeft uitgevoerd op Japanse doelen. Het gaat hierbij onder andere om twee grootschalige aanvallen die in juli en oktober 2015 zijn opgezet. Deze zouden voornamelijk zijn gericht op een Japans dochterbedrijf van een Zuid-Koreaanse elektriciteitsbedrijf. Daarnaast blijkt de groep in 2015 de investeringstak van een grote Japanse autofabrikant te hebben aangevallen, waarbij gebruik is gemaakt van een malware die specifiek voor deze organisatie is ontworpen.
Meer details over Operation Dust Storm zijn hier te vinden.
Meer over
Lees ook
De speciale exploitatiecyclus van TA422: week na week hetzelfde
Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdie1
Onderzoek Proofpoint: TA571 levert IcedID Forked Loader
Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.
Zowel cybercriminelen als –verdedigers gebruiken AI
Nieuwe ISACA-gids ondersteunt bedrijven bij het managen van generatieve AI-risico’s