Hackers chinos Target políticos taiwaneses Justo Antes Elecciones

Los investigadores de seguridad FireEye han descubierto un nuevo APT (Advanced amenaza persistente) grupo vinculado a la China continental, apuntando a los políticos taiwaneses y miembros de los medios de comunicación, pocas semanas antes de las elecciones del país.Los primeros signos de que el ataque se registró alrededor de las 10:00 de la mañana, el 26 de noviembre, cuando se detectó una nueva campaña de phishing, lanzado contra los miembros del Partido Democrático Progresista de Taiwán (DPP).Los ataques dirigidos específicamente políticos y periodistas anti-chinasEl DDP es principal partido opositor de Taiwan, y los analistas políticos esperan que gane fácilmente contra el partido Kuomintang (KMT), que está promoviendo una política más China y amigable. Además, también fueron objeto los miembros de los medios de comunicación a favor de la DPP.De acuerdo con el análisis técnico de FireEye de la campaña de phishing, los objetivos fueron atraídos a mensajes de correo electrónico de apertura que tuvieron los sujetos en forma de "Información de contacto Actualización del DPP." Una vez que esto ocurrió, a través de un adjunto de correo electrónico trampas explosivas (archivo Word), las víctimas fueron infectados con el troyano IRONHALO, que luego descargar e instalar la puerta de atrás ELMER.

Los hackers utilizan tres diferentes vulnerabilidades para infectar a los usuarios: dos vulnerabilidades de día cero en Microsoft Office (CVE-2015 hasta 2545) y Windows (CVE-2015-2546), y una tercera vulnerabilidad de elevación de privilegios local de Windows (CVE-2015 a 1701) .Los hackers utilizan una vulnerabilidad que nunca antes vistaLos documentos de Word trampas explosivas contenían un nuevo método de ataque, nunca antes visto, uno que utiliza una vulnerabilidad de Microsoft PostScript encapsulado (EPS) copia dict de uso después de liberación. Este día cero particular, fue descubierto el 8 de septiembre por FireEye, pero nunca se ha visto en los ataques en vivo hasta ahora. Microsoft fija todos los problemas a través de actualizaciones del sistema el 10 de noviembre.El grupo que llevó a cabo estos ataques, conocidos sólo como APT16, también lanzó campañas de lanza phishing similares contra medios de comunicación taiwaneses en junio de 2015. Este grupo no es lo mismo como admin @ 338, otras organizaciones de medios de comunicación chinos APT dirigidos de Hong Kong."El gobierno chino se beneficiaría de una mejor comprensión de la cobertura de los medios locales de la política de Taiwán, tanto para anticipar mejor el resultado de la elección y para reunir información de inteligencia adicional sobre los políticos, activistas y otras personas que interactúan con los periodistas", dijo Ryann Winters, de FireEye Threat Intelligence .