JSOutProx-nimellä tunnetun monimutkaisen JavaScript-etäkäyttötroijalaisen (RAT) takana oleva kehittynyt uhkaryhmä on julkaissut uuden version haittaohjelmasta Lähi-idän organisaatioille.
Kyberturvallisuuspalveluyritys Resecurity analysoi teknisiä yksityiskohtia useista tapauksista, joissa JSOutProx-haittaohjelma oli kohdistettu talousasiakkaille ja toimitti joko väärennetyn SWIFT-maksuilmoituksen, jos kohteena oli yritys, tai MoneyGram-mallin, kun kohde oli kohdistettu yksityishenkilöille, yhtiö kirjoitti tällä viikolla julkaistussa raportissa. Uhkaryhmä on kohdistanut kohteena Intian ja Taiwanin hallitusorganisaatiot sekä rahoitusjärjestöt Filippiineillä, Laosissa, Singaporessa, Malesiassa ja Intiassa – ja nyt Saudi-Arabia.
JSOutProxin uusin versio on kehitysnäkökulmasta erittäin joustava ja hyvin organisoitu ohjelma, jonka avulla hyökkääjät voivat räätälöidä toiminnallisuutta uhrin erityiseen ympäristöön, sanoo Gene Yoo, Resecurityn toimitusjohtaja.
"Se on haittaohjelma-implantti, jossa on useita vaiheita, ja siinä on useita laajennuksia", hän sanoo. "Riippuen uhrin ympäristöstä, se menee suoraan sisään ja sitten itse asiassa vuotaa hänet tai myrkyttää ympäristön riippuen siitä, mitkä laajennukset ovat käytössä."
Hyökkäykset ovat Solar Spider -nimisen kyberrikollisryhmän viimeisin kampanja, joka näyttää olevan ainoa JSOutProx-haittaohjelmaa käyttävä ryhmä. Perustuu ryhmän tavoitteisiin – tyypillisesti organisaatiot Intiassa, mutta myös Aasian ja Tyynenmeren alueella, Afrikassa ja Lähi-idän alueet - se liittyy todennäköisesti Kiinaan, Turvallisuus totesi analyysissaan.
"Profiloimalla kohteita ja joitain infrastruktuurista saamiamme yksityiskohtia, epäilemme, että se liittyy Kiinaan", Yoo sanoo.
"Erittäin hämmentynyt… Modulaarinen laajennus"
JSOutProx tunnetaan hyvin rahoitusalalla. Esimerkiksi Visa dokumentoi hyökkäystyökalua käyttäviä kampanjoita vuonna 2023, joista yksi osoitti useita pankkeja Aasian ja Tyynenmeren alueella, yhtiö totesi sen puolivuosittainen uhkaraportti julkaistiin joulukuussa.
Etäkäyttötroijalainen (RAT) on "erittäin hämärtynyt JavaScript-takaovi, jossa on modulaariset liitännäisominaisuudet, joka voi suorittaa komentotulkkikomentoja, ladata, ladata ja suorittaa tiedostoja, manipuloida tiedostojärjestelmää, luoda pysyvyyttä, ottaa kuvakaappauksia ja käsitellä näppäimistöä ja hiirtä tapahtumia”, Visa totesi raportissaan. "Näiden ainutlaatuisten ominaisuuksien avulla haittaohjelmat voivat välttää tietoturvajärjestelmien havaitsemisen ja saada erilaisia arkaluontoisia maksu- ja taloustietoja kohdennetuilta rahoituslaitoksilta.
JSOutProx näkyy tavallisesti talousasiakirjan PDF-tiedostona zip-arkistossa. Mutta todellisuudessa se on JavaScript, joka suoritetaan, kun uhri avaa tiedoston. Hyökkäyksen ensimmäinen vaihe kerää tietoja järjestelmästä ja kommunikoi komento- ja ohjauspalvelimien kanssa, jotka on hämärtynyt dynaamisen DNS:n kautta. Hyökkäyksen toisessa vaiheessa ladataan mikä tahansa noin 14 laajennuksesta lisähyökkäyksiä varten, mukaan lukien pääsy Outlookiin ja käyttäjän yhteystietoluetteloon sekä välityspalvelinten käyttöönotto tai poistaminen käytöstä järjestelmässä.
RAT lataa laajennuksia GitHubista - tai viime aikoina GitLabista - näyttääkseen laillisilta.
"JSOutProxin uuden version löytäminen yhdistettynä GitHubin ja GitLabin kaltaisten alustojen hyödyntämiseen korostaa näiden haitallisten toimijoiden hellittämättömiä ponnistuksia ja kehittynyttä johdonmukaisuutta", Resecurity sanoi analyysissaan.
Lähi-idän taloushallinnon tietojen rahallistaminen
Kun Solar Spider on murtautunut käyttäjän, hyökkääjät keräävät tietoja, kuten ensisijaiset tilinumerot ja käyttäjätiedot, ja suorittavat sitten erilaisia haitallisia toimia uhria vastaan Visan uhkaraportin mukaan.
"JSOutProx-haittaohjelma muodostaa vakavan uhan rahoituslaitoksille ympäri maailmaa ja erityisesti AP-alueen rahoituslaitoksille, koska nämä tahot ovat useammin joutuneet tämän haittaohjelman kohteena", Visan raportissa todetaan.
Yritysten tulisi kouluttaa työntekijöitä siitä, kuinka käsitellä ei-toivottua, epäilyttävää kirjeenvaihtoa haittaohjelman uhan vähentämiseksi, Visa sanoi. Lisäksi kaikki haittaohjelman esiintymät on tutkittava ja korjattava kokonaan uudelleentartunnan estämiseksi.
Suuret yritykset ja valtion virastot joutuvat todennäköisemmin ryhmän hyökkäyksen kohteeksi, koska Solar Spider näkee menestyneimmät yritykset, Resecurity's Yoo sanoo. Suurimmaksi osaksi yritysten ei kuitenkaan tarvitse ryhtyä uhkakohtaisiin toimiin, vaan keskittyä syvällisiin puolustusstrategioihin, hän sanoo.
"Käyttäjän tulisi keskittyä olemaan katsomatta kiiltävää esinettä taivaalla, kuten kiinalaiset hyökkäävät, vaan siihen, mitä heidän on tehtävä, on luoda parempi perusta", Yoo sanoo. ”Hyvä korjaus, verkon segmentointi ja haavoittuvuuksien hallinta. Jos teet niin, mikään näistä ei todennäköisesti vaikuttaisi käyttäjiisi.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
