De geavanceerde dreigingsgroep achter een complexe JavaScript-Trojan voor externe toegang (RAT), bekend als JSOutProx, heeft een nieuwe versie van de malware uitgebracht die zich richt op organisaties in het Midden-Oosten.
Cybersecurity-dienstenbedrijf Resecurity analyseerde technische details van meerdere incidenten waarbij de JSOutProx-malware betrokken was die zich op financiële klanten richtte en een valse SWIFT-betalingsmelding afleverde als deze zich op een onderneming richtte, of een MoneyGram-sjabloon wanneer deze zich op particulieren richtte, schreef het bedrijf in een rapport dat deze week werd gepubliceerd. De dreigingsgroep heeft zich gericht op overheidsorganisaties in India en Taiwan, maar ook op financiële organisaties in de Filipijnen, Laos, Singapore, Maleisië en India. Saudi-Arabië.
De nieuwste versie van JSOutProx is vanuit ontwikkelingsperspectief een zeer flexibel en overzichtelijk programma, waardoor de aanvallers de functionaliteit kunnen afstemmen op de specifieke omgeving van het slachtoffer, zegt Gene Yoo, CEO van Resecurity.
"Het is een malware-implantaat met meerdere fasen en meerdere plug-ins", zegt hij. “Afhankelijk van de omgeving van het slachtoffer gaat het regelrecht naar binnen en bloedt het vervolgens daadwerkelijk of vergiftigt het de omgeving, afhankelijk van welke plug-ins zijn ingeschakeld.”
De aanvallen zijn de nieuwste campagne van een cybercriminele groep bekend als Solar Spider, die de enige groep lijkt te zijn die de JSOutProx-malware gebruikt. Gebaseerd op de doelstellingen van de groep – doorgaans organisaties in India, maar ook in de Azië-Pacific, Afrika en andere landen regio's in het Midden-Oosten – het is waarschijnlijk gelinkt aan China, Resecurity vermeld in zijn analyse.
“Door het profileren van de doelen en enkele details die we over de infrastructuur hebben verkregen, vermoeden we dat deze verband houden met China”, zegt Yoo.
“Zeer onduidelijk … modulaire plug-in”
JSOutProx is bekend in de financiële sector. Visa documenteerde bijvoorbeeld campagnes waarbij gebruik werd gemaakt van de aanvalstool in 2023, waaronder een campagne die gericht was op verschillende banken in de regio Azië-Pacific, aldus het bedrijf in het in december gepubliceerde halfjaarlijkse bedreigingsrapport.
De Remote Access Trojan (RAT) is een “zeer versluierde JavaScript-achterdeur, die modulaire plug-inmogelijkheden heeft, shell-opdrachten kan uitvoeren, bestanden kan downloaden, uploaden en uitvoeren, het bestandssysteem kan manipuleren, persistentie tot stand kan brengen, schermafbeeldingen kan maken en toetsenbord en muis kan manipuleren. gebeurtenissen”, aldus Visa in haar rapport. “Dankzij deze unieke kenmerken kan de malware detectie door beveiligingssystemen omzeilen en een verscheidenheid aan gevoelige betalings- en financiële informatie van gerichte financiële instellingen verkrijgen.
JSOutProx verschijnt doorgaans als een PDF-bestand van een financieel document in een zip-archief. Maar eigenlijk is het JavaScript dat wordt uitgevoerd wanneer een slachtoffer het bestand opent. De eerste fase van de aanval verzamelt informatie over het systeem en communiceert met command-and-control-servers die verborgen zijn via dynamische DNS. In de tweede fase van de aanval worden een van de veertien plug-ins gedownload om verdere aanvallen uit te voeren, waaronder het verkrijgen van toegang tot Outlook en de contactlijst van de gebruiker, en het in- of uitschakelen van proxy's op het systeem.
De RAT downloadt plug-ins van GitHub – of recenter GitLab – om er legitiem uit te zien.
“De ontdekking van de nieuwe versie van JSOutProx, gekoppeld aan de exploitatie van platforms als GitHub en GitLab, benadrukt de meedogenloze inspanningen en verfijnde consistentie van deze kwaadwillende actoren”, aldus Resecurity in zijn analyse.
Monetaire gegevens uit financiële instellingen uit het Midden-Oosten
Zodra Solar Spider een gebruiker in gevaar brengt, verzamelen de aanvallers informatie, zoals primaire accountnummers en gebruikersgegevens, en voeren vervolgens verschillende kwaadaardige acties uit tegen het slachtoffer, volgens het dreigingsrapport van Visa.
“De JSOutProx-malware vormt een ernstige bedreiging voor financiële instellingen over de hele wereld, en vooral voor die in de AP-regio, aangezien deze entiteiten vaker het doelwit zijn van deze malware”, aldus het Visa-rapport.
Bedrijven moeten werknemers voorlichten over hoe ze moeten omgaan met ongevraagde, verdachte correspondentie om de dreiging van de malware te beperken, aldus Visa. Bovendien moet elk exemplaar van de malware worden onderzocht en volledig worden verholpen om herinfectie te voorkomen.
Grotere bedrijven en overheidsinstanties zullen eerder door de groep worden aangevallen omdat Solar Spider zijn zinnen heeft gezet op de meest succesvolle bedrijven, zegt Yoo van Resecurity. Voor het grootste deel hoeven bedrijven echter geen dreigingsspecifieke stappen te ondernemen, maar zich in plaats daarvan te concentreren op diepgaande verdedigingsstrategieën, zegt hij.
“De gebruiker moet zich erop concentreren niet naar het glimmende object in de lucht te kijken, zoals de Chinezen aanvallen, maar op wat ze moeten doen is een betere basis creëren”, zegt Yoo. “Goede patching, netwerksegmentatie en kwetsbaarheidsbeheer. Als u dat doet, heeft dit waarschijnlijk geen invloed op uw gebruikers.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
