מומחי אבטחה גילו לאחרונה תוכנה זדונית חדשה שנועדה לגנוב מידע. האיום הזדוני משמש בקמפייני סיור וממקד את חברות אנרגיה בקנה מידה עולמית. התוכנה הזדונית מדובב Laziok. פעילותה פעלו די בין החודשים ינואר ופברואר, מיקוד חברות גדולות רצוי במזרח התיכון.
על אודות 25% ההתקפות זוהו האמירויות הערביות.
מדינות יעד אחרות כוללות כווייה, ערב הסעודית, פקיסטן (על אודות 10% זיהומים כל), ואחריו קטאר, עומאן, בריטניה וארה"ב, אינדונזיה, הודו, אוגנדה, קולומביה.
לאחר פולשי המערכות של החברות, Laziok טרויאני מוגדר לקצור נתונים חיוניים, כך שהתוקפים יכלו להחליט כיצד להמשיך עם השביתה הזדונית. לאחר השלב הראשוני עבר, התוקפים מאחורי הזיהום לקבוע אם לאסוף נתוני תצורה או לא. אם המערכת אינה עניין כלשהו, התוכנות הזדוניות מפסיקות התקפה שלה.
למרות זאת, אם פושעי סייבר למצוא נתונים חיוניים, Laziok מפיצה תוכנות זדוניות נוספות, בדרך כלל שהורדו מהשרתים בבריטניה, ארה"ב או בולגריה. הנתונים הנאספים העיקריים מורכבים מפרטי תוכנה, RAM וגודל הדיסק הקשיח, GPU ו- CPU, וכלים נגד תוכנות זדוניות נוכחיות.
התוכניות המסוכנות הנוספות הן וריאציות מנהג של סוסים טרויאנים אחרים כגון Cyberat ו Zbot.
איזה סוג נתונים חיוניים האם Laziok אסוף?
החוקרים דיווחו כי השרתים של Laziok כנראה ממוקמים בבריטניה, ארה"ב או בולגריה. לאחר ניתוח המכריע, מומחי אבטחה הגיעו למסקנה כי רוב המטרות היו מחוברים הליום, תעשיות גז ונפט. לפיכך, זה בטוח להניח כי יש התוקפים עניין עצום בפרויקטים של חברות כאלה יש שהוכנו בקפידה האסטרטגיה שלהם, למרות טרויאני עצמו אינו מתוחכם.
טכניקת ההפצה של Laziok
ההתקפה הראשונית מתחילה עם דוא"ל עיבוד moneytrans.eu בתור שרת דואר יוצא. המיילים הנגועים מורכב קובץ Excel פגום עם לנצל CVE-2012-0158. CVE-2012-0158 פגיעות נפוצות ListView / פקד ActiveX TreeView. זהו חלק מספריית MSCOMCTL.OCX ומאפשר גישה מרחוק וביצוע קוד זדוני.
הבאג נוצל לפני והוא אמר משפיעה על גירסאות של Microsoft Office מן 2003 ל 2010.
למרות הפיגוע טרויאני Laziok אינו משתמש בשום טריקים חדשים, חברות צריכות להתייחס אליו כאל איום מסוכן. אחת סיבות להיות מאוד זהיר היא העובדה כי מערכות בדרך כלל נשארות מתוקנות מפני פגיעות ישנה.