Fancy Bear valt security experts aan met nieuwe malwarecampagne

Security experts zijn doelwit van een nieuwe malwarecampagne. Aanvallers verspreiden een malafide document over de Cyber Conflict U.S. conferentie, dat een malafide Visual Basic for Applications (VBA) macro bevat.

Dit meldt de Talos Security Intelligence and Research Group (Talos) van Cisco. De Cyber Conflict U.S. conferentie is een samenwerking tussen het Army Cyber Institute van de United States Military Academy, de NATO Cooperative Cyber Military Academy en het NATO Cooperative Cyber Defence Centre of Excellence. De conferentie is gericht op security experts, beveiligingsonderzoekers en andere mensen die interesse hebben in cybersecurity.

Fancy Bear

De aanval is volgens Talos opgezet door de hackersgroep Fancy Bear, die ook bekend is onder de namen Group 74, Tsar Team, Sofacy en APT28. Het verspreide document bevat een malafide VBA macro, dat een nieuwe variant van de Seduploader opent. Deze malware wordt al langer gebruikt door Fancy Bear en bestaat uit twee componenten: een dropper en een payload. Talos meldt dat beide componenten veel overeenkomsten tonen met eerdere versies die zijn gebruikt voor Fancy Bear.

Seduploader biedt de aanvallers verschillende mogelijkheden. Zo kunnen zij via deze malware code uitvoeren op geïnfecteerde systemen, bestanden downloaden, data vanaf het geïnfecteerde systeem versturen naar een externe server en screenshots nemen van het beeldscherm van slachtoffers.

Op 4 oktober gelanceerd

De malware communiceert met een Command & Control server die gehost wordt op myinvestgroup.com. De malwarecampagne is op 4 oktober gelanceerd. Op zondag 7 oktober een piek te zien is in de activiteiten vanaf de Command & Control-server van de malware.