Kaspersky Lab today announced the results of an investigation carried out jointly with Seculert, a company engaged in advanced threat detection, the "Ms" - an active campaign of cyber espionage, the victims are in the Middle East. Madi - originally discovered by Seculert - a campaign infiltrate computer networks, using the Trojan, which is provided strictly specially chosen goals through social engineering.
Kaspersky Lab has worked with Seculert to perform so. hopper operations aimed at Madi control servers, enabling the monitoring of cybercriminal campaign. Businesses have identified more than 800 victims found in Iran, Israel and some countries in the world, which for the past eight months were connected to servers cybercriminals. Statistics obtained allow to conclude that among the victims were mostly businessmen working on the Iranian and Israeli projects on critical infrastructure, the Israeli financial institutions, engineering students from the Middle East, and various government agencies providing in the Middle East. In addition, the analysis of the malware identified a unique number of religious and political documents and images "distractions" that have been included in the system at a time when there was the first infection.
"Although in comparison with other similar projects, we are dealing here with a very simple malicious software and infrastructure, the people behind the campaign Madi managed to carry out a long-term operation directed against known targets" - said Nicolas Brulez, senior malware analyst at Kaspersky Lab. "Maybe that's what caused the primitiveness of amateurism and that the operation was able to avoid the radar and has not been detected."
"Interestingly, in our analysis, we discovered many common text strings in Persian found in malicious software and tools running on the servers of cyber criminals, which is quite unusual. The attackers no doubt that seamlessly handling the language "- said Aviv Raff, CTO, Seculert.
Madi campaign used the Trojan allows remote attackers to steal confidential files from infected computers running Windows, to monitor confidential communications transmitted via e-mail and instant messaging, record audio, record keystrokes and take screenshots of the victim. The analysis of the data shows that the victims of the computers were stolen many gigabytes of data.
Popular applications and websites that spied, included an account on Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ and Facebook. Surveillance systems were also integrated ERP / CRM, business contracts and financial management systems.
Kaspersky Labは今日はSeculert、高度な脅威検出に従事する会社と共同で実施し、調査の結果を発表し、 "MS" - サイバースパイ活動の積極的なキャンペーンは、被害者が中東にある。マディ - もともとSeculertによって発見された - キャンペーンは、ソーシャルエンジニアリングによって厳密に特別に選ばれた目標を提供されてトロイの木馬を使用して、コンピュータ·ネットワークに潜入。
Kaspersky Labは、そう実行するSeculertと協力してきました。ホッパー操作は、サイバー犯罪者キャンペーンの監視を可能にする、マディ·コントロール·サーバーを目指しました。企業は過去8ヶ月間サーバーサイバー犯罪者に接続されていたイラン、イスラエル、世界の一部の国に見られる800以上の犠牲者を同定した。得られた統計は、犠牲者の中にほとんどの重要なインフラストラクチャ上でイランとイスラエルのプロジェクトに取り組んでいるビジネスマン、イスラエルの金融機関、中東からの工学部の学生、そして中東で提供する様々な政府機関であったと結論することができます。加えて、マルウェアの解析は、最初の感染があった時に、システムに含まれている宗教的、政治的文書や画像を "気晴らし"の一意の番号を確認しました。
"他の類似プロジェクトと比較して、我々は非常に単純な悪意のあるソフトウェアやインフラと一緒にここに扱っているが、キャンペーンマディ後ろの人々は知られているターゲットに対して向けられた、長期的な運用を行うために管理されている" - ニコラ·Brulez、Kaspersky Labのシニア·マルウェア·アナリストは述べています。 "多分それはアマチュアリズムの原始の原因となった、操作がレーダーを回避し、検出されていないことができたものだ。"
"興味深いことに、我々の分析では、我々は非常に特殊なケースですが、悪意のあるソフトウェアやサイバー犯罪者のサーバー上で実行されているツールに見られるペルシャ語で、多くの一般的なテキスト文字列を発見しました。攻撃者がシームレスに言語を扱うことは間違いない " - Aviv Raff氏、最高技術責任者(CTO)、Seculertは言った。
マディキャンペーンは、トロイの木馬は、リモートの攻撃者が、電子メールやインスタントメッセージング、オーディオを録音、レコードのキーストロークを介して送信機密保護された通信を監視し、被害者のスクリーンショットを取ることが、Windowsを実行して感染したコンピュータから機密ファイルを盗むことができます使用されます。データの分析は、コンピュータの犠牲者は数GBのデータを盗まれたことを示しています。
見張られている人気のアプリケーションおよびWebサイトには、GmailやHotmail、Yahoo!メール、ICQ、Skypeは、Google+やFacebookのアカウントが含まれていた。監視システムはまた、ERP / CRM、ビジネス契約や財務管理システムを統合しました。
卡巴斯基实验室今日宣布共同进行的调查Seculert,一家从事先进的威胁检测的结果,“女士” - 积极开展活动的网络间谍活动,受害者是在中东地区。马迪 - 最初发现Seculert - 运动渗透计算机网络,利用木马通过社会工程,它是严格按照特别选择的目标。
卡巴斯基实验室曾与Seculert执行。料斗行动,旨在在马迪控制服务器,使监测网络犯罪活动。企业已经确定了800多名受害者在伊朗,以色列和一些国家在世界上,在过去的8个月内被连接到服务器的网络罪犯。统计得到允许得出这样的结论:在受害者中大多是商人工作的重要的基础设施,以色列的金融机构,工科学生来自中东,以及各种政府机构提供在中东的伊朗和以色列的项目。此外,分析确定了一个独特的宗教和政治的文档和图像“分心”,已被包括在系统中的时候,有第一次感染的恶意软件。
“虽然在与其他同类项目相比,我们处理在这里用一个很简单的恶意软件和基础设施的活动马迪背后的人管理,开展一个长期运行针对已知目标” - 萨科Brulez,高级恶意软件分析师在卡巴斯基实验室说。 “也许这是什么原因造成的原始性业余的操作能够避开雷达,并没有被发现。”
“有趣的是,在我们的分析中,我们发现了许多常见的文本字符串在波斯语中发现的恶意软件和工具运行在服务器上的网络犯罪分子,这是相当不寻常的。毫无疑问,攻击者可以无缝地处理语言“ - 特拉维夫拉夫说,CTO,Seculert。
,马迪活动使用的木马,远程攻击者可以窃取机密文件,从被感染的计算机上运行Windows,监控保密通信传输通过电子邮件和即时消息,录音,记录键击,并采取截图的受害者。分析的数据显示,受害者的电脑被偷走了许多千兆字节的数据。
流行的应用程序和网站从事间谍活动,包括帐户的Gmail,Hotmail,雅虎邮件,ICQ,Skype公司,Google+和Facebook的。监控系统还集成了ERP / CRM,业务合同和财务管理制度。
No comments:
Post a Comment