Den sofistikerte trusselgruppen bak en kompleks JavaScript ekstern tilgang Trojan (RAT) kjent som JSOutProx har gitt ut en ny versjon av skadelig programvare for å målrette mot organisasjoner i Midtøsten.
Cybersikkerhetstjenestefirmaet Resecurity analyserte tekniske detaljer om flere hendelser som involverte JSOutProx malware rettet mot finanskunder og leverte enten en falsk SWIFT-betalingsmelding hvis de retter seg mot en bedrift, eller en MoneyGram-mal når de retter seg mot private borgere, skrev selskapet i en rapport publisert denne uken. Trusselgruppen har rettet seg mot statlige organisasjoner i India og Taiwan, samt finansielle organisasjoner på Filippinene, Laos, Singapore, Malaysia, India – og nå Saudi-Arabia.
Den nyeste versjonen av JSOutProx er et veldig fleksibelt og godt organisert program fra et utviklingsperspektiv, som lar angriperne skreddersy funksjonalitet for offerets spesifikke miljø, sier Gene Yoo, administrerende direktør i Resecurity.
"Det er et malware-implantat med flere stadier, og det har flere plug-ins," sier han. "Avhengig av miljøet til offeret, går den rett inn og blør dem faktisk ut eller forgifter miljøet, avhengig av hvilke plugin-moduler som er aktivert."
Angrepene er den siste kampanjen til en nettkriminell gruppe kjent som Solar Spider, som ser ut til å være den eneste gruppen som bruker JSOutProx-malware. Basert på gruppens mål - typisk organisasjoner i India, men også i Asia-Stillehavet, Afrika og Midtøsten-regioner – det er sannsynligvis knyttet til Kina, Ressikkerhet oppgitt i sin analyse.
"Ved å profilere målene og noen av detaljene vi fikk i infrastrukturen, mistenker vi at det er relatert til Kina," sier Yoo.
"Svært obfuscated ... Modular Plug-in"
JSOutProx er godt kjent i finansbransjen. Visa dokumenterte for eksempel kampanjer ved bruk av angrepsverktøyet i 2023, inkludert en som pekte på flere banker i Asia-Stillehavsregionen, uttalte selskapet i dens halvårlige trusselrapport publisert i desember.
Fjerntilgang Trojan (RAT) er en "svært tilslørt JavaScript-bakdør, som har modulære plugin-funksjoner, kan kjøre skallkommandoer, laste ned, laste opp og kjøre filer, manipulere filsystemet, etablere utholdenhet, ta skjermbilder og manipulere tastatur og mus hendelser», uttalte Visa i sin rapport. "Disse unike funksjonene lar skadevare unnvike oppdagelse av sikkerhetssystemer og skaffe en rekke sensitiv betalings- og finansinformasjon fra målrettede finansinstitusjoner.
JSOutProx vises vanligvis som en PDF-fil av et finansdokument i et zip-arkiv. Men egentlig er det JavaScript som kjøres når et offer åpner filen. Den første fasen av angrepet samler informasjon om systemet og kommuniserer med kommando-og-kontrollservere som er skjult via dynamisk DNS. Den andre fasen av angrepet laster ned noen av de 14 plugin-modulene for å utføre ytterligere angrep, inkludert å få tilgang til Outlook og brukerens kontaktliste, og aktivere eller deaktivere proxyer på systemet.
RAT laster ned plugins fra GitHub – eller nylig GitLab – for å virke legitime.
"Oppdagelsen av den nye versjonen av JSOutProx, kombinert med utnyttelse av plattformer som GitHub og GitLab, understreker disse ondsinnede aktørenes nådeløse innsats og sofistikerte konsistens," sa Resecurity i sin analyse.
Tjen penger på data fra økonomi i Midtøsten
Når Solar Spider kompromitterer en bruker, samler angriperne inn informasjon, som primære kontonumre og brukerlegitimasjon, og utfører deretter en rekke ondsinnede handlinger mot offeret, ifølge Visas trusselrapport.
"JSOutProx malware utgjør en alvorlig trussel mot finansinstitusjoner rundt om i verden, og spesielt de i AP-regionen, ettersom disse enhetene oftere har blitt målrettet mot denne malware," heter det i Visa-rapporten.
Bedrifter bør utdanne ansatte om hvordan de skal håndtere uoppfordret, mistenkelig korrespondanse for å redusere trusselen fra skadelig programvare, uttalte Visa. I tillegg må enhver forekomst av skadelig programvare undersøkes og utbedres fullstendig for å forhindre reinfeksjon.
Større selskaper og offentlige etater er mer sannsynlig å bli angrepet av gruppen fordi Solar Spider har sikte på de mest suksessrike firmaene, sier Resecuritys Yoo. For det meste trenger imidlertid ikke selskaper å ta trusselspesifikke skritt, men i stedet fokusere på dybdeforsvarsstrategier, sier han.
"Brukeren bør fokusere på å ikke se på det skinnende objektet på himmelen, som kineserne angriper, men det de trenger å gjøre er å skape et bedre grunnlag," sier Yoo. "Å ha god patching, nettverkssegmentering og sårbarhetshåndtering. Hvis du gjør det, vil ingenting av dette sannsynligvis påvirke brukerne dine.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
