Primijećeno je da novi haker orijentisan prema Iranu, nazvan Educated Manticore, napada pojedince u Izraelu s novim taktikama i alatima.
Stručnjaci za bezbjednost u Check Point Research-u (CPR) opisali su nalaze u novom savjetodavnom izvještaju koji je takođe povezao Educated Manticore hakere s dobro poznatom grupom za napredne persistentne pretnje (APT) poznatom kao Phosphorus.
“Istraživanje predstavlja novi i poboljšani lanac infekcije koji vodi do implementacije nove verzije PowerLess-a. Ovaj implantat je u prošlosti bio pripisan Phosphorus-u” stoji u tehničkom zapisu.
CPR je objasnio da iako je PowerLess payload koji je implementirao Educated Manticore sličan onom kod Phosphorus-a, njegovi mehanizmi učitavanja su značajno poboljšani, sada se oslanjajući na tehnike koje se rijetko viđaju, uključujući korištenje .NET binarnih datoteka kreiranih u mješovitom načinu sa C++ kodom.
“Novootkrivena verzija je vjerovatno namijenjena phishing napadima fokusiranim oko Iraka, koristeći ISO datoteku za pokretanje lanca infekcije” napisala je kompanija. “Drugi dokumenti unutar ISO fajla bili su na hebrejskom i arapskom što sugeriše da su mamci bili usmjereni na izraelske mete.”
Kao dio CPR-ove istrage o Educated Manticore-u, stručnjaci za bezbjednost analizirali su dva odvojena mamca, koje su sa srednjom pouzdanošću pripisali istom hakeru.
Savjetodavna služba za CPR detaljno je analizirala oba mamaca, ali je upozorila da se napadi izvedeni kao rezultat ovih infekcija tek trebaju primijetiti u divljini.
“Budući da se radi o ažuriranoj verziji prethodno prijavljenog malicioznog softvera, PowerLess, povezanog s nekim Phosphorus-ovim ransomware operacijama, važno je napomenuti da može predstavljati samo rane faze infekcije, sa značajnim dijelovima aktivnosti nakon infekcije koje tek treba da budu viđene u praksi.”
Nalazi CPR-a dolaze nekoliko dana nakon što je Microsoft objavio savjet u kojem se opisuje poseban haker, takođe navodno povezan s Phosphorus kampanjama.
Izvor: Infosecurity Magazine