Ερευνητές ασφάλειας από την ESET ανακάλυψαν την Roaming Tiger hacking campaign, κατά την οποία bad actors στοχεύουν Ρώσικες επιχειρήσεις.
‘Roaming Tiger’ είναι το όνομα μιας cyber κατασκοπευτικής καμπάνιας που στοχεύει οργανισμούς υψηλού προφίλ στην Ρωσία και σε χώρες της πρώην Σοβιετικής Ένωσης, συμπεριλαμβανομένων των Λευκορωσία, Καζακστάν, Κιργιστάν, Τατζικιστάν, Ουκρανία και Ουζμπεκιστάν.
Η καμπάνια Roaming Tiger ανακαλύφθηκε από τους ειδικούς της ESET το 2014, ενώ ο ερευνητής Anton Cherepanov παρουσίασε τα ευρήματα της έρευνάς του στο ZeroNights security conference που πραγματοποιήθηκε το 2014.
Σύμφωνα με τους ειδικούς λοιπόν, οι threat actors πίσω από την καμπάνια Roaming Tiger βασίζονται σε RTF exploits και το PlugX RAT, ενώ η ανάλυση του command and control (C&C) infrastructure προϊδεάζει και για την συμμετοχή Κινέζων hackers.
Το καλοκαίρι, ειδικοί της Palo Alto Networks ανακάλυψαν ακόμα μια hacking campaign η οποία έχει αρκετές ομοιότητες με την Roaming Tiger. Οι επιθέσεις στοχεύουν οργανισμούς κι επιχειρήσεις στις ίδιες χώρες, αλλά αντί του PlugX, οι hackers χρησιμοποίησαν ένα νέο εργαλείο με την ονομασία BBSRAT.
Οι threat actors ως επί το πλείστον χρησιμοποίησαν spear phishing emails με συνημμένο ένα κακόβουλο Word document.
Το έγγραφο Word σχεδιάσθηκε έτσι για να κάνει exploit μια παλιά ευπάθεια του Microsoft Office (CVE-2012-0158) με σκοπό να μοιράσει το BBSRAT malware.
Το ελάττωμα αυτό εκμεταλλεύθηκε επίσης και κατά την διάρκεια των επιθέσεων που παρατήρησαν οι ειδικοί της ESET τον περασμένο χρόνο. Παραδόξως το BBSRAT χρησιμοποίησε την ίδια C&C architecture όπως και η Roaming Tiger campaign.
Συνοψίζοντας τα χαρακτηριστικά της Roaming tiger campaign έχουμε:
- Θύματα High profile στην Ρωσία
- Χρήση των RTF ευπαθειών (CVE-2012-0158 and CVE-2014-1761)
- Win32/Korplug (aka PlugX RAT) • Win32/Farfli.BEK (aka Gh0st RAT)
