Den sofistikerade hotgruppen bakom en komplex JavaScript-trojan för fjärråtkomst (RAT) känd som JSOutProx har släppt en ny version av skadlig programvara för att rikta sig mot organisationer i Mellanöstern.
Cybersäkerhetstjänsteföretaget Resecurity analyserade tekniska detaljer om flera incidenter som involverade JSOutProx skadlig kod riktad mot finansiella kunder och levererar antingen en falsk SWIFT-betalningsavisering om den riktar sig mot ett företag, eller en MoneyGram-mall när man riktar sig mot privata medborgare, skrev företaget i en rapport som publicerades denna vecka. Hotgruppen har riktat sig mot statliga organisationer i Indien och Taiwan, såväl som finansiella organisationer i Filippinerna, Laos, Singapore, Malaysia, Indien - och nu Saudiarabien.
Den senaste versionen av JSOutProx är ett mycket flexibelt och välorganiserat program ur ett utvecklingsperspektiv, vilket gör att angriparna kan skräddarsy sin funktionalitet för offrets specifika miljö, säger Gene Yoo, VD för Resecurity.
"Det är ett malware-implantat med flera steg, och det har flera plug-ins", säger han. "Beroende på offrets miljö går den direkt in och blöder dem sedan eller förgiftar miljön, beroende på vilka plugin-program som är aktiverade."
Attackerna är den senaste kampanjen av en cyberkriminell grupp känd som Solar Spider, som verkar vara den enda gruppen som använder JSOutProx malware. Baserat på gruppens mål - vanligtvis organisationer i Indien, men också i Asien-Stillahavsområdet, Afrika och regioner i Mellanöstern — det är troligtvis kopplat till Kina, Säkerhet uppgav i sin analys.
"Genom att profilera målen, och några av de detaljer som vi fick i infrastrukturen, misstänker vi att det är relaterat till Kina," säger Yoo.
"Mycket obfuscated ... Modular Plug-in"
JSOutProx är välkänt inom finansbranschen. Visa, till exempel, dokumenterade kampanjer med hjälp av attackverktyget 2023, inklusive en riktad mot flera banker i Asien-Stillahavsområdet, uppgav företaget i dess halvårsrapport om hot som publicerades i december.
Fjärråtkomsttrojanen (RAT) är en "mycket obfuskerad JavaScript-bakdörr, som har modulära insticksfunktioner, kan köra skalkommandon, ladda ner, ladda upp och köra filer, manipulera filsystemet, etablera beständighet, ta skärmdumpar och manipulera tangentbord och mus händelser, säger Visa i sin rapport. "Dessa unika funktioner tillåter skadlig programvara att undvika upptäckt av säkerhetssystem och få en mängd känslig betalnings- och finansiell information från riktade finansinstitutioner.
JSOutProx visas vanligtvis som en PDF-fil av ett finansiellt dokument i ett zip-arkiv. Men egentligen är det JavaScript som körs när ett offer öppnar filen. Det första steget av attacken samlar in information om systemet och kommunicerar med kommando-och-kontrollservrar som är obfuscerade via dynamisk DNS. Det andra steget av attacken laddar ner något av cirka 14 plugin-program för att utföra ytterligare attacker, inklusive att få åtkomst till Outlook och användarens kontaktlista, och aktivera eller inaktivera proxyservrar på systemet.
RAT laddar ner plugins från GitHub – eller på senare tid, GitLab – för att verka legitima.
"Upptäckten av den nya versionen av JSOutProx, tillsammans med utnyttjandet av plattformar som GitHub och GitLab, betonar dessa illvilliga aktörers obevekliga ansträngningar och sofistikerade konsekvens," sa Resecurity i sin analys.
Tjäna pengar på data från Mellanösterns finanser
När Solar Spider äventyrar en användare, samlar angriparna in information, såsom primära kontonummer och användaruppgifter, och utför sedan en mängd illvilliga åtgärder mot offret, enligt Visas hotrapport.
"JSOutProx skadlig programvara utgör ett allvarligt hot mot finansiella institutioner runt om i världen, och särskilt de i AP-regionen, eftersom dessa enheter oftare har angripits av denna skadliga programvara", heter det i Visa-rapporten.
Företag bör utbilda anställda om hur man hanterar oönskad, misstänksam korrespondens för att mildra hotet från skadlig programvara, sa Visa. Dessutom måste alla instanser av skadlig programvara undersökas och helt åtgärdas för att förhindra återinfektion.
Större företag och statliga myndigheter är mer benägna att attackeras av gruppen eftersom Solar Spider har siktet inställt på de mest framgångsrika företagen, säger Resecuritys Yoo. För det mesta behöver dock företagen inte ta hotspecifika steg utan istället fokusera på djupförsvarsstrategier, säger han.
"Användaren bör fokusera på att inte titta på det glänsande föremålet på himlen, som att kineserna attackerar, men vad de behöver göra är att skapa en bättre grund", säger Yoo. "Att ha bra patchning, nätverkssegmentering och sårbarhetshantering. Om du gör det, skulle inget av detta troligen påverka dina användare.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
