NewsPenguin-Phishing-Angriff zielt auf maritime und militärische Geheimnisse

Laut Blackberry-Forschern zielt eine neue Phishing-Kampagne mit dem Namen "NewsPenguin" seit Monaten auf den militärisch-industriellen Komplex Pakistans ab und nutzt ein fortschrittliches Malware-Tool, um sensible Informationen zu stehlen. Die Kampagne, von der man annimmt, dass sie vom Staat gesponsert wird, läuft seit mindestens Dezember 2022.

"Der Angreifer verschickte gezielte Phishing-E-Mails mit einem bewaffneten Dokument im Anhang, das vorgibt, ein Ausstellerhandbuch für die PIMEC-23 zu sein", so das BlackBerry Research and Intelligence Team.

PIMEC steht für Pakistan International Maritime Expo and Conference und ist eine Initiative der pakistanischen Marine, die vom Ministerium für maritime Angelegenheiten mit dem Ziel organisiert wird, "die Entwicklung im maritimen Sektor anzukurbeln". Bei der Kampagne ging es offenbar mehr um das Sammeln von Informationen und das Exfiltrieren von Informationen als darum, den Opfern unmittelbaren Schaden zuzufügen.

Die Kampagne verwendet ausgeklügelte Toolsets, die so konzipiert sind, dass sie von herkömmlichen Sicherheitsmaßnahmen nicht erkannt werden. Die Malware und Remote-Access-Trojaner (RATs) im Toolset wurden verwendet, um Zugang zu den Systemen der Opfer zu erhalten und sensible Daten zu stehlen. Newspenguin setzt verschiedene Techniken ein, um die Entdeckung zu umgehen, z. B. verschlüsselte Nutzdaten und dynamisch generierte Domänen für die Befehls- und Kontrollkommunikation (C2).

Die Angreifer verwendeten Malware aus der "Zodiac"-Familie, die dafür bekannt ist, dass sie von Antiviren-Software nicht erkannt wird. Darüber hinaus verwendeten die Angreifer "IceLog", einen Keylogger, mit dem sensible Informationen gestohlen werden können, und "Gh0stRAT", ein Fernzugriffstool, mit dem die Angreifer die Kontrolle über das System des Opfers übernehmen konnten. Die Angreifer setzen auch die Glacier-Malware ein, die so konzipiert ist, dass sie von herkömmlichen Antivirenlösungen nicht erkannt wird.

Blackberry-Forscher gehen davon aus, dass Newspenguin einen neuen Malware-Stamm namens "PenguSpy" verwendet. Diese Malware wurde entwickelt, um eine Entdeckung zu vermeiden und Informationen von infizierten Systemen zu sammeln, einschließlich Passwortdiebstahl und Screenshot-Erfassung.

Er enthält ein Dokument mit der Bezeichnung "Important Document.doc", das eine Remote-Vorlageninjektionstechnik verwendet. Wenn das Ziel das Dokument öffnet, ruft es das Beispiel der nächsten Stufe von hxxp[:]/windowsupdates[.]shop/test[.]dotx ab. Die Domäne war zu 51.222.103[.] aufgelöst worden, als wir sie entdeckten. 8. Der bösartige Payload-Server ist so konfiguriert, dass er die Datei nur zurückgibt, wenn die IP-Adresse des Benutzers innerhalb des pakistanischen IP-Bereichs liegt. Wenn das Opfer auf "Inhalt aktivieren" klickt, wird ein VBA-Makrocode ausgeführt. Der bösartige VBA-Makrocode speichert die Datei "test.dotx" als "abc.wsf" im Ordner "C:WindowsTasks" des Benutzers.

Das Skript stellt dann fest, ob auf dem infizierten Rechner Windows® 7 oder 10 läuft und speichert die Version als Auftragsname für die nächste Anweisung.

Zu den Quellen für diesen Beitrag gehört ein Artikel in DarkReading.

Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=ycO6hVmt5R4&t=6s

Zusammenfassung

Artikel Name

NewsPenguin-Phishing-Angriff zielt auf maritime und militärische Geheimnisse

Beschreibung

Eine neue Phishing-Kampagne mit dem Namen "NewsPenguin" hat es seit Monaten auf den militärisch-industriellen Komplex Pakistans abgesehen.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers