Security experts doelwit van nieuwe malwarecampagne

hacker-2300772_960_720-pixabay-hypnoart

Security experts zijn doelwit van een nieuwe malwarecampagne. Aanvallers verspreiden een malafide document over de Cyber Conflict U.S. conferentie, dat een malafide Visual Basic for Applications (VBA) macro bevat.

Dit meldt de Talos Security Intelligence and Research Group (Talos) van Cisco. De Cyber Conflict U.S. conferentie is een samenwerking tussen het Army Cyber Institute van de United States Military Academy, de NATO Cooperative Cyber Military Academy en het NATO Cooperative Cyber Defence Centre of Excellence. De conferentie is gericht op security experts, beveiligingsonderzoekers en andere mensen die interesse hebben in cybersecurity.

Fancy Bear

De aanval is volgens Talos opgezet door de hackersgroep Fancy Bear, die ook bekend is onder de namen Group 74, Tsar Team, Sofacy en APT28. Het verspreide document bevat een malafide VBA macro, dat een nieuwe variant van de Seduploader opent. Deze malware wordt al langer gebruikt door Fancy Bear en bestaat uit twee componenten: een dropper en een payload. Talos meldt dat beide componenten veel overeenkomsten tonen met eerdere versies die zijn gebruikt voor Fancy Bear.

Seduploader biedt de aanvallers verschillende mogelijkheden. Zo kunnen zij via deze malware code uitvoeren op geïnfecteerde systemen, bestanden downloaden, data vanaf het geïnfecteerde systeem versturen naar een externe server en screenshots nemen van het beeldscherm van slachtoffers.

Op 4 oktober gelanceerd

De malware communiceert met een Command & Control server die gehost wordt op myinvestgroup.com. De malwarecampagne is op 4 oktober gelanceerd. Op zondag 7 oktober een piek te zien is in de activiteiten vanaf de Command & Control-server van de malware.

Lees ook
Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Niemand weet wat ‘The Next Big Thing’ in het dreigingslandschap wordt. Wat wel mogelijk is, is terugkijken naar 2023, opvallende gedragingen van actoren identificeren en een gefundeerde inschatting maken van wat 2024 mogelijk in petto heeft.

TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.

Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden

Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden

Onderzoekers van cybersecuritybedrijf Proofpoint publiceren vandaag onderzoek over de activiteiten van dreigingsactor 'Battle Royal'. Deze actor gebruikt DarkGate- en NetSupport-malware om controle te krijgen over geïnfecteerde hosts via meerdere verschillende aanvalsketens en social engineering technieken.