En statligt sponsrad hackgrupp kan försöka infiltrera amerikanska verktygsföretag med phishing-e-postmeddelanden som innehåller skadliga Microsoft Word-bilagor.
Säkerhetsföretaget Proofpoint erhöll prover av e-postmeddelandena, som låtsades komma från US National Council of Examiners for Engineering and Surveying (NCEES). Även om e-postmeddelandena ser legitim ut vid första anblicken skickades de från en hackarkontrollerad domän på “nceess.com” istället för den officiella “ncees.org” -sidan.
Phishing-e-postmeddelandena innehöll ett Microsoft Word-dokument som – när det väl öppnats – använde makron eller en serie automatiserade kommandon för att installera och köra en bit av skadlig kod gömd i Word-filen. “Vi tror att detta kan vara ett statligt sponsrat APT (avancerat ihållande hot) -aktör baserat på överlappningar med historiska kampanjer och makron som används”, sa ProofPoint i rapporten, som släpptes på torsdagen.
Phishing-e-postmeddelandena försökte locka mottagare till att öppna bilagan genom att hävda att de hade misslyckats med en NCEES-licensundersökning och att deras poäng var i det bifogade Microsoft Word-dokumentet.
Proofpoint undersökte den domän som var knuten till nätfiskeattacken, och avslöjade bevis som de inblandade hackarna också har försökt att utge sig för andra tekniska och elektriska licensorganisationer i USA genom andra falska domäner. “Bland dessa domäner sågs endast nceess.com i aktiva nätfiske-kampanjer riktade till verktygsföretag”, tillade säkerhetsföretaget.
Phishing-e-postmeddelandena skickades mellan den 19 juli och den 25 juli. Inblandad skadlig kod kan fungera som en Trojan för fjärråtkomst för att i hemlighet ta över en dator. Funktionerna inkluderar “visning av process-, system- och fildata; radering av filer; körning av kommandon; skärmdumpar; flyttning och klicka med musen; starta om maskinen och ta bort sig själv från en infekterad värd,” sa Proofpoint.
Säkerhetsföretaget säger att makron som används i Word-dokumenten innehåller likheter med andra misstänkta statligt sponsrade hackningskampanjer mot japanska företag. Proofpoint avstod från att identifiera de tre amerikanska företagen som är inriktade på phishing-systemet, men sa att det är klart att amerikanska leverantörer av kritisk infrastruktur måste vara på vakt mot potentiella intrångsförsök. De senaste åren har säkerhetsföretag upptäckt bevis för att nationalstatens hackare riktar sig till verktygsföretag med skadlig kod som kan spionera på och till och med störa fabriker och kraftverk.
