Um actor ameaçador anteriormente desconhecido dublado NewsPenguin foi ligada a uma campanha de phishing dirigida a entidades paquistanesas, alavancando a próxima exposição marítima internacional como uma isca.
“O atacante enviou e-mails de phishing direccionados com um documento armado anexado que pretende ser um manual do expositor para o PIMEC-23”, a Equipa de Pesquisa e Inteligência BlackBerry disse.
PIMECabreviatura de Pakistan International Maritime Expo and Conference, é uma iniciativa da Marinha do Paquistão e é organizado pelo Ministério dos Assuntos Marítimos com o objectivo de “saltar para o desenvolvimento no sector marítimo”. Está prevista a sua realização de 10-12 de Fevereiro de 2023.
A empresa canadiana de cibersegurança disse que os ataques foram concebidos para atingir entidades relacionadas com a marinha e os visitantes do evento, enganando os destinatários da mensagem para que abrissem o documento aparentemente inofensivo do Microsoft Word.
Uma vez lançado o documento, um método chamado injecção de modelo remoto é utilizado para ir buscar a carga útil da fase seguinte a um servidor controlado por actor que está configurado para devolver o artefacto apenas se o pedido for enviado de um endereço IP localizado no Paquistão.
BlackBerry disse ter encontrado no servidor dois ficheiros de arquivo ZIP sem qualquer protecção de palavra-passe, um dos quais inclui um executável do Windows (update.exe) que funciona como uma ferramenta de espionagem oculta capaz de contornar caixas de areia e máquinas virtuais.
Além disso, o conteúdo do binário é encriptado com o Encriptação XOR algoritmo, onde a chave XOR é “pinguim”. A resposta HTTP contendo a porta traseira também vem com o parâmetro do nome no Cabeçalho de resposta à disposição do conteúdo preparar para “getlatestnews”.
O nome NewsPenguin é uma referência à invulgar chave XOR e ao parâmetro do nome, com BlackBerry a não encontrar sobreposições tácticas que liguem o malware a qualquer actor ou grupo de ameaça actualmente conhecido.
Uma análise do domínio que acolhe as cargas úteis mostra que está registado desde 30 de Junho de 2022, indicando algum nível de planeamento antecipado para a campanha ao mesmo tempo que se tomam medidas para iterar o seu conjunto de ferramentas.
“Como o alvo é um evento dirigido pela Marinha do Paquistão, implica que o actor da ameaça está a visar activamente organizações governamentais, em vez de ser um ataque motivado financeiramente”, disse BlackBerry.