Η εταιρεία ασφαλείας Symantec αποκάλυψε μια εκστρατεία που έχει σαν στόχο τουλάχιστον 12 διαφορετικές βιομηχανίες για την άμυνα, κυβερνητικές υπηρεσίες, καθώς και εταιρειών αερομεταφορών και ελέγχου της εναέριας κυκλοφορίας.
Οι επιθέσεις ξεκινούν με ένα στοχευμένο phishing e-mail με τίτλο “FW:. 2012 προοπτικές για την παγκόσμια αεροδιαστημική και αμυντική βιομηχανία”.
Τα μηνύματα έχουν σταλεί σε άτομα που κατέχουν σημαντικό ρόλο στις συγκεκριμένες εταιρείες – οργανισμούς, όπως διευθυντές και αντιπροέδρους. Για να φαίνονται νόμιμα, τα μηνύματα ισχυρίζονται ότι προέρχονται από υπαλλήλους της εταιρείας που θέλουν να χτυπήσουν οι hackers ή από άλλα άτομα του κλάδου.
Το PDF αρχείο που επισυνάπτεται στο e-mail φαίνεται να αποτελεί ένα αντίγραφο της έκθεσης “Global aerospace and defense industry outlook”.
Ωστόσο, όταν εκτελεστεί, όχι μόνο ανοίγει ένα γνήσιο έγγραφο, αλλά επίσης προσπαθεί να εκμεταλλευτεί μια απομακρυσμένη ευπάθεια που υπάρχει σε παλαιότερες εκδόσεις του Adobe Flash Player.
“Εκτός από το καθαρό αρχείο PDF, υπάρχει και μία κακόβουλη έκδοση του αρχείου svchost.exe αλλά και μια επίσης κακόβουλη έκδοση του ntshrui.dll. Και τα δύο αυτά αρχεία με το που ανοίξει το pdf εισέρχονται μέσα στον κατάλογο των Windows, ” αναφέρει ο Satnam Narang της Symantec.
“Η απειλή αξιοποιεί μια τεχνική γνωστή σαν σειρά αναζήτησης DLL hijacking (το αρχείο ntshrui.dll δεν προστατεύεται από το KnownDLLs). Όταν το αρχείο svchost.exe καλεί το αρχείο explorer.exe, θα φορτώσει το κακόβουλο αρχείο ntshrui.dll αντί του νόμιμου ntshrui.dll στον κατάλογο συστήματος των Windows. ”
Το κακόβουλο λογισμικό, που προσδιορίζεται από τη Symantec σαν Backdoor.Barikiofork, είναι σε θέση να δει τους δίσκους του θύματος και να επικοινωνήσει με το διακομιστή διοίκησης και ελέγχου, του συστήματος συλλογής πληροφοριών των hackers. Αφού λάβει εντολές μπορεί να αρχίσει την αποστολή αρχείων απο τους δίσκους του θύματος, ή να εκτελέσει άλλες εντολές.
Symantec συμβουλεύει τους οργανισμούς να αναπτύξουν κατάλληλους μηχανισμούς ασφαλείας για τα e-mail τους που θα βοηθήσουν στην πρόληψη τέτοιων επιθέσεων.
