Kolejny dowód na to, że grupy hackerskie szybko wykorzystują wydarzenia na świecie i budują swoje kampanie, tak aby uzyskać maksymalne efekty. Odkryto, iż aktorzy podszywają się pod Amnesty International, aby rozpowszechniać złośliwe oprogramowanie. Oprogramowanie rzekomo ma zabezpieczać przed oprogramowaniem do inwigilacji Pegasus, firmy NSO Group.
“Hakerzy stworzyli fałszywą stronę internetową, która wygląda jak strona Amnesty International. Organizacji pozarządowej zajmującej się prawami człowieka. Na stronie znajduje się narzędzie antywirusowe chroniące przed oprogramowaniem Pegasus firmy NSO Group” – stwierdzili badacze z Cisco Talos. “Jednak w rzeczywistości pobrany plik instaluje mało znane złośliwe oprogramowanie Sarwent”.
Zasięg kampanii
Kraje najbardziej dotknięte kampanią to Wielka Brytania, Stany Zjednoczone, Rosja, Indie, Ukraina, Czechy, Rumunia i Kolumbia. Chociaż nie jest jasne, w jaki sposób ofiary są wabione do odwiedzenia fałszywej strony Amnesty International. Firma zajmująca się bezpieczeństwem cybernetycznym przypuszcza, że ataki mogą być skierowane do użytkowników, którzy szczególnie poszukują ochrony przed tym zagrożeniem.
Rozwój sytuacji następuje po wybuchowym śledztwie z lipca 2021 r. W śledztwie ujawniono powszechne nadużywanie “wojskowego oprogramowania szpiegowskiego” Pegasus. Celem ułatwienia łamania praw człowieka poprzez inwigilację głów państw, aktywistów, dziennikarzy i prawników na całym świecie. Od tego czasu Amnesty International wydała również zestaw Mobile Verification Toolkit (MVT). Kolekcja stosowana jest do skanowania urządzeń indywidualnych osób w poszukiwaniu dowodów kompromitacji.
Schemat działań
Oprócz wykorzystania sztuczek socjotechnicznych poprzez zaprojektowanie nieuczciwej strony internetowej o wyglądzie i działaniu identycznym z legalnym portalem Amnesty International modus operandi ma na celu nakłonienie odwiedzającego do pobrania “oprogramowania Amnesty Anti Pegasus” pod przykrywką narzędzia antywirusowego, które posiada funkcje umożliwiające złemu aktorowi znalezienie zdalnej drogi do zaatakowanego komputera i wydobycie poufnych informacji, takich jak dane logowania.
Próbka Sarwent wykorzystana w kampanii o niewielkim zasięgu jest wysoce dostosowanym wariantem zakodowanym w Delphi. Umożliwia zdalny dostęp do pulpitu poprzez VNC lub RDP. Pozwala również na wykonywanie poleceń w terminalu lub instrukcji PowerShell otrzymanych z domeny kontrolowanej przez atakującego.
Talos z dużym prawdopodobieństwem przypisał infekcje rosyjskojęzycznemu podmiotowi zlokalizowanemu w tym kraju. Podmiot ten znany jest z ataków z wykorzystaniem backdoora Sarwent od co najmniej stycznia 2021 r., obejmujących różne ofiary, odnotowując poziom modyfikacji rzekomego antywirusa jako prawdopodobny dowód na to, że “operator ma dostęp do kodu źródłowego złośliwego oprogramowania Sarwent”.
“Kampania jest skierowana do osób, które mogą obawiać się, że są celem oprogramowania szpiegowskiego Pegasus” – stwierdzili badacze. “To ukierunkowanie podnosi kwestie możliwego zaangażowania państwa, ale nie ma wystarczających informacji […], aby dokonać jakichkolwiek ustaleń na temat tego, które państwo lub naród. Możliwe, że jest to po prostu motywowany finansowo aktor, który chce wykorzystać nagłówki gazet, aby uzyskać nowe dostępy.”
Jak zawsze, użytkownicy powinni pozostawać czujni oraz unikać pobierania i instalowania programów pochodzących z nieznanych źródeł. Zachęcamy do zapoznania się i stosowania dobrych rad, które z pewnością nie raz się wam przydadzą podczas surfowania po Internecie.
Źródło: https://thehackernews.com/2021/10/beware-of-fake-amnesty-international.html
