Ein bisher unbekannter Bedrohungsakteur mit dem Namen NewsPenguin wurde mit einer Phishing-Kampagne in Verbindung gebracht, die auf pakistanische Einrichtungen abzielte und die bevorstehende internationale Schifffahrtsmesse als Köder nutzte.
„Der Angreifer verschickte gezielte Phishing-E-Mails mit einem bewaffneten Dokument im Anhang, das vorgibt, ein Ausstellerhandbuch für die PIMEC-23 zu sein“, so das BlackBerry Research and Intelligence Team said.
PIMEC, short for Pakistan International Maritime Expo and Conference, is an initiative of the Pakistan Navy and is organized by the Ministry of Maritime Affairs with an aim to „jump start development in the maritime sector.“ It’s scheduled to be held from February 10-12, 2023.
Das kanadische Cybersicherheitsunternehmen erklärte, dass die Angriffe darauf abzielen, maritime Einrichtungen und die Besucher der Veranstaltung anzugreifen, indem sie die Empfänger der Nachricht dazu verleiten, das scheinbar harmlose Microsoft Word-Dokument zu öffnen.
Nach dem Start des Dokuments wird eine Methode namens remote template injection eingesetzt, um die Nutzdaten der nächsten Stufe von einem von einem Akteur kontrollierten Server zu holen, der so konfiguriert ist, dass er das Artefakt nur zurückgibt, wenn die Anfrage von einer IP-Adresse in Pakistan gesendet wird.
BlackBerry gab an, auf dem Server zwei ZIP-Archivdateien ohne Passwortschutz gefunden zu haben, von denen eine eine ausführbare Windows-Datei (updates.exe) enthält, die als verdecktes Spionagetool fungiert, mit dem Sandboxen und virtuelle Maschinen umgangen werden können.
What’s more, the contents of the binary are encrypted with the XOR encryption algorithm, where the XOR key is „penguin.“ The HTTP response containing the backdoor also comes with the name parameter in the Content-Disposition response header set to „getlatestnews.“
The name NewsPenguin is a reference to the uncommon XOR key and the name parameter, with BlackBerry finding no tactical overlaps that connect the malware to any currently-known threat actor or group.
„Da es sich bei dem Ziel um eine Veranstaltung der pakistanischen Marine handelt, deutet dies darauf hin, dass der Bedrohungsakteur aktiv auf Regierungsorganisationen abzielt und es sich nicht um einen finanziell motivierten Angriff handelt“, so BlackBerry.