Výzkumný tým Check Point Research odhalil cílený masivní útok proti vládním subjektům v jihovýchodní Asii, který trval asi 7 měsíců. Útočníci, kteří jsou pravděpodobně členy kyberskupiny Rancor, použili klasickou techniku spearphishingu, ale investovali mnoho úsilí, aby e-maily a dokumenty byly co nejpřesvědčivější a celá kampaň se průběžně měnila a vyvíjela.
Rancor je útočná skupina aktivní od roku 2017, která byla zodpovědná například za kyberútoky na Singapur a Kambodžu, jejichž cílem byla pravděpodobně špionáž.
Výzkumný tým Check Point Research proto detailně analyzoval metody použité pro začátek útoku, infrastrukturu a nástroje, použité proti cílům v nejnovější kampani této skupiny. Vše naznačuje také to, že APT skupina Rancor je čínského původu.
Útoky začaly e-maily zasílanými jménem zaměstnanců různých vládních resortů, ambasád nebo vládních subjektů v jihovýchodní Asii. Útočníci, zdá se, sledovali nějaké konkrétní cíle, protože desítky e-mailů byly zaslány zaměstnancům ze stejných ministerstev. Rozsáhlá kampaň trvala déle než 7 měsíců a neustále se vyvíjela a mutovala. Některé části kampaně se původně jevily jako nesouvisející a provázanost ukázala až detailní analýza.
Dokumenty se při spuštění škodlivého kódu v infikovaném systému spoléhaly na makra a známé zranitelnosti. Nejzajímavější na celé věci byl obsah použitý jako návnada. Většina dokumentů obsahovala legitimní vládní témata, jako jsou pokyny pro státní zaměstnance, oficiální dopisy, tiskové zprávy, průzkumy a další.
Kyberbezpečnostní společnost Check Point chrání i před podobnými hrozbami. Malware použitý při těchto útocích zachytí řešení pro extrakci a emulaci hrozeb společnosti Check Point.
Více informací najdete v analýze bezpečnostního týmu Check Point Research:
https://research.checkpoint.com/rancor-the-year-of-the-phish/