Laziok Trojan Segnalato al target aziende energetiche

Laziok Trojan Segnalato al target aziende energetiche

Gli esperti di sicurezza hanno recentemente scoperto un nuovo malware progettato per rubare informazioni. La minaccia dannoso viene utilizzato in campagne di ricognizione e si rivolge alle imprese di energia su scala globale. Il malware è doppiato Laziok. Le sue operazioni sono stati molto attivi tra gennaio e febbraio, mira grandi aziende preferibilmente in Medio Oriente.

Su 25% degli attacchi sono stati rilevati negli Emirati Arabi Uniti.

Altri paesi destinatari includono Kuwait, Arabia Saudita, Pakistan (su 10% di infezioni ogni), seguito da Qatar, Oman, Regno Unito e Stati Uniti, Indonesia, India, Uganda, Colombia.

Dopo aver invaso i sistemi delle aziende, Laziok Trojan è impostato per raccogliere dati cruciali in modo che gli attaccanti potrebbero decidere come procedere con lo sciopero dannoso. Terminata la fase iniziale è passato, gli attaccanti dietro l'infezione determinano se per raccogliere i dati di configurazione o no. Se il sistema non è di alcun interesse, il malware si ferma il suo attacco.

Tuttavia, se i criminali informatici trovano i dati essenziali, Laziok distribuisce altro malware, solitamente scaricati dal server nel Regno Unito, Stati Uniti o in Bulgaria. I dati raccolti primaria consiste in specifiche del software, RAM e dimensione del disco rigido, GPU e CPU, e strumenti anti-malware presenti.

I programmi pericolosi aggiuntivi sono varianti personalizzate di altri Trojan, come Cyberat e Zbot.

Che tipo di dati essenziali non Laziok Raccogliere?

I ricercatori hanno riferito che i server di Laziok sono probabilmente situate nel Regno Unito, Stati Uniti o in Bulgaria. Dopo una vasta analisi, esperti di sicurezza hanno concluso che la maggior parte degli obiettivi sono stati collegati alla dell'elio, industrie del gas e del petrolio. Quindi, è lecito ritenere che gli attaccanti hanno un enorme interesse nei progetti di tali società e hanno preparato con cura la loro strategia, anche se il Trojan in sé non è sofisticato.

Tecnica Distribuzione Laziok

L'attacco iniziale inizia con una e-mail dalla lavorazione moneytrans.eu come un server in uscita. Le e-mail infette sono costituiti da un file Excel danneggiato con un exploit per CVE-2012-0158. CVE-2012-0158 è una vulnerabilità comune nel ListView / Controllo TreeView ActiveX. E 'parte della libreria MSCOMCTL.OCX e permette l'accesso remoto e l'esecuzione di codice dannoso.

Il bug è stato sfruttato prima e si dice di influenzare Microsoft Office versioni da 2003 a 2010.
Anche se l'attacco Laziok Trojan non utilizza nuovi trucchi, le aziende dovrebbero trattarlo come una pericolosa minaccia. Un motivo per essere molto cauti è il fatto che i sistemi di solito rimangono senza patch contro vecchie vulnerabilità.