Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Iraanse hackers hebben meer dan 60 universiteiten getroffen om toegang tot de bibliotheek te krijgen

Cyber security Envicom todayseptember 12, 2019 6

Background
share close

Cobalt Dickens, een bedreiging van de Iraanse regering, voerde in juli en augustus een phishing operatie uit die gericht was op meer dan 60 universiteiten in landen op vier continenten.

Beveiliging onderzoekers zeggen dat de hack activiteit van de groep minstens 380 universiteiten in meer dan 30 landen trof, waarbij veel van de doelen meerdere keren werden geraakt.

Gratis domeinen en TLS-certificaten

De nieuwste phishing campagne was gericht op organisaties in Australië, Hong Kong, de VS, Canada, het VK en Zwitserland. Er werden minstens 20 nieuwe domein namen gebruikt die zijn geregistreerd met de Freenom service die gratis domein namen op het hoogste niveau biedt (ml, ga, cf, gq, tk).

Een frauduleuze mail die Cobalt Dickens naar mensen met toegang tot de bibliotheek van de bedoelde universiteit stuurde, toont een bericht waarin werd gevraagd het account opnieuw te activeren door een vervalste link te volgen.

Spoofed URL maakt gebruik van gratis domein

Het gebruik van een vervalste link is een wijziging in de modus operand, omdat eerdere campagnes van de groep afhankelijk waren van verkorte URL om naar de valse inlog pagina te gaan.

Het volgen van de nep link leidt “naar een webpagina die er identiek of vergelijkbaar uitziet als de vervalste bibliotheek bron”, zeggen onderzoekers van de Counter Threat Unit (CTU) van Secureworks.

Nadat de verwijzingen zijn opgegeven, worden ze opgeslagen in een bestand met de naam ‘pass.txt’ en laadt de browser de echte universiteit website.

Cobalt Dickens phishing operatie

Om vermoedens van frauduleuze activiteiten te annuleren, gebruikt de bedreiging acteur frequent geldige TLS-certificaten voor zijn websites. De meeste certificaten die in deze campagne zijn waargenomen, zijn gratis, uitgegeven door de Let’s Encrypt non-profit certificaatautoriteit.

Geen zorgen over blootstelling van het publiek

Ook bekend als Silent Librarian, richt de groep zich op het compromitteren van onderwijs instellingen, maar toch haar slachtoffers ook bedrijven uit de particuliere sector tellen. Het lijkt erop dat het doel ervan is om de inlog gegevens van de bibliotheek te stelen en academische bronnen te verkopen, evenals toegang tot deze aan klanten in Iran.

Negen personen waarvan werd aangenomen dat ze een rol in de activiteit van de groep hadden, werden in maart 2018 door het Amerikaanse ministerie van Justitie aangeklaagd voor Cyber-In Braak Activiteiten. Er wordt aangenomen dat ze partners of Hacker For Hire waren voor een bedrijf genaamd Mabna Institutie dat sinds minstens 2013 hack operaties uitvoerde.

Veel van de indringers zouden zijn gepleegd voor de Islamitische Revolutionaire Garde (IRGC), een entiteit in de regering die belast is met het verzamelen van inlichtingen.

Hun doelstellingen waren “computersystemen van 144 Amerikaanse universiteiten, 176 universiteiten in 21 andere landen, 47 binnenlandse en buitenlandse particuliere ondernemingen.”

De lijst met doelen omvat ook het Amerikaanse ministerie van Arbeid, de Federal Energy Regulatory Commission, de staat Hawaii, de staat Indiana, de Verenigde Naties en het Kinderfonds van de Verenigde Naties.

Er wordt beweerd dat de hackers meer dan 31 terabytes aan documenten en gegevens van slachtoffers over de hele wereld hebben gestolen. Ondanks de aanklacht in de VS en de publieke bekendheid lijkt Cobalt Dickens echter niet te worden afgeschrikt in haar activiteiten.

In een poging de activiteiten van de acteur van de bedreiging af te remmen, publiceerde Secureworks alle bekende domeinen die verband houden met Cobalt Dickens.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *