montsthree

Kaspersky har netop opdaget en sjælden APT, der siden 2018 har sneget sig uden om virusscannere og som er målrettet bestemte industrivirksomheder. MontysThree, som de har døbt den, er en APT, der ved hjælp af phishing og steganografi (en teknik, hvormed man skjuler at data overhoved findes, som regel ved at forklæde dem som en anden type data) har fået adgang til interne, fortrolige dokumenter. Industrispionage er normalt forbeholdt diplomater, politikere og andre embedsmænd, da de ligger inde med fortrolige eller politisk følsomme oplysninger. Langt mere sjældent er den målrettede industrispionage, hvor der stjæles informationer fra konkurrenter for at opnå fordele på markedet. Det er, hvad industrivirksomheder kan frygte med ny malware. Som et hvert angreb, kan det have ødelæggende konsekvenser for virksomheden. Sofistikerede og amatøragtige TTPs For at udføre sin spionage implementerer MontysThree et malware-program bestående af fire moduler. Den første spredes ved hjælp af RAR SFX-filer (selvudpakkende filer), der indeholder navne relateret til medarbejdernes kontaktlister, teknisk dokumentation og medicinske analyseresultater, for at narre medarbejdere til at downloade filerne, altså klassisk phishing. For at undgå at ryge i antivirus-skanneren bruger malwaren en kendt teknik kaldet steganografi. Steganografi bruges til at skjule det faktum, at data udveksles. I tilfælde af MontysThree er den vigtigste ondsindede last forklædt som en bitmap-fil (et format til lagring af digitale billeder). Hvis den rigtige kommando indtastes, bruges en skræddersyet algoritme til at dekryptere indholdet fra pixel-arrayet og køre den ondsindede virus. Går efter Microsoft og Adobe Acrobat-dokumenter Den målrettede malware skanner derefter virksomhedens lokale …. (læs mere her)