Ranije nepoznati haker nazvan NewsPenguin povezan je s kampanjom phishing-a usmjerenom na pakistanske entitete koristeći predstojeću međunarodnu izložbu pomorstva kao mamac.
“Napadač je slao ciljane phishing email-ove s priloženim dokumentom koji navodno predstavlja priručnik za izlagače za PIMEC-23”, rekao je BlackBerry istraživački i obavještajni tim.
PIMEC, skraćeno od Pakistan International Maritime Expo and Conference, inicijativa je pakistanske mornarice i organizuje ga Ministarstvo pomorskih poslova s ciljem da se “brzo započne razvoj u pomorskom sektoru”. Planirano je da se održi od 10. do 12. februara 2023. godine.
Kanadska kompanija za kibernetičku bezbjednost saopštila je da su napadi osmišljeni da ciljaju subjekte povezane s pomorstvom i posjetitelje događaja tako što se primaoce poruka prevare navede da otvore naizgled bezopasni Microsoft Word dokument.
Jednom kada se dokument pokrene, koristi se metoda koja se zove daljinsko ubrizgavanje šablona za dohvatanje korisnog opterećenja sljedeće faze sa servera pod kontrolom hakera koji je konfigurisan da vrati artefakt samo ako je zahtjev poslan s IP adrese koja se nalazi u Pakistanu.
BlackBerry je saopštio da je otkrio da server hostuje dvije ZIP arhivske datoteke bez ikakve zaštite lozinkom, od kojih jedna uključuje Windows izvršnu datoteku (updates.exe) koja funkcionira kao prikriveni alat za špijuniranje sposoban da zaobiđe sandbox-ove i virtuelne mašine.
Štaviše, sadržaj binarne šifre je šifrovan XOR algoritmom za šifrovanje, gde je ključ XOR “pingvin”. HTTP odgovor koji sadrži backdoor također dolazi s parametrom imena u zaglavlju odgovora Content-Disposition postavljenim na “getlatestnews”.
Ime NewsPenguin je referenca na neuobičajeni ključ XOR i parametar imena, pri čemu BlackBerry nije pronašao taktička preklapanja koja povezuju maliciozni softver sa bilo kojim trenutno poznatim hakerom ili grupom.
Analiza domena u kojem se nalaze korisni podaci pokazuje da je registrovan od 30. juna 2022. godine, što ukazuje na određeni nivo unapred planiranja kampanje dok se istovremeno preduzimaju koraci za ponavljanje skupa alata.
“Pošto je meta događaj koji vodi pakistanska mornarica, to implicira da haker aktivno cilja vladine organizacije, a ne da se radi o financijski motivisanom napadu”, rekao je BlackBerry.
Izvor: The Hacker News