Útoky využívají nebezpečnou e-mailovou přílohou, která je označená jako přísně tajný americký dokument, a následně je zneužita populární aplikace TeamViewer pro převzetí plné kontroly nad infikovaným strojem.
Check Point analyzoval celý infekční řetězec, útočnou infrastrukturu a podobnost s předchozími kampaněmi a útoky. Také byl objeven online avatar rusky mluvícího hackera, který má podle všeho na starost nástroje vyvinuté a používané v tomto útoku.
Infekce začíná XLSM dokumentem se škodlivými makry, který je odeslán potenciálním obětem e-mailem s předmětem „Military Financing Program“. Dobře zpracovaný dokument obsahuje logo amerického ministerstva zahraničí a je označen jako „přísně tajný“. Ačkoli si útočníci dali hodně záležet na tom, aby dokument vypadal přesvědčivě, zdá se, že přehlédli některé detaily, které zůstaly v dokumentu, a mohly by přispět k odhalení informací o zdroji útoku.
Jakmile jsou makra povolena, extrahují se dva soubory. Jeden legitimní a druhý škodlivý, který umožňuje například vytvořit a odeslat kopii obrazovky, ukrást informace o počítači nebo stáhnout škodlivou verzi TeamVieweru, spustit ho a odeslat přihlašovací údaje útočníkům. Nebezpečná verze TeamVieweru přidává další "funkce" do legitimní verze TeamVieweru a umožňuje skrýt rozhraní programu, aby uživatel nevěděl, že je spuštěn, uložit stávající přihlašovací údaje do textového souboru nebo přenášet a spouštět další .exe a .dll soubory.
Na základě získaných dat bylo možné sestavit částečný seznam zemí, kde byli úředníci terčem kyberútoků:
• Nepál
• Guyana
• Keňa
• Itálie
• Libérie
• Bermudy
• Libanon
Pokud se díváme pouze na tento částečný seznam zemí, kde útoky probíhaly, nevyplývají z toho žádné konkrétní geopolitické motivy. Ale seznam sledovaných obětí vypovídá o zvláštním zájmu útočníků o veřejný finanční sektor.
Na jednu stranu se jedná o dobře promyšlený útok, který pečlivě vybírá oběti a používá specifický obsah, aby zaujal cílovou skupinu. Na druhou stranu některé aspekty tohoto útoku nebyly tak pečlivé a odhalují podrobnosti, které jsou v podobných kampaních obvykle dobře maskované, jako jsou osobní informace, online historie pachatele nebo dosah škodlivých aktivit.
Škodlivé DLL umožňuje útočníkům odeslat další obsah do infikovaného počítače a vzdáleně ho spustit. Další škodlivý obsah se ale zatím nepodařilo identifikovat, aby bylo možné určit skutečné záměry. Nicméně historie aktivit vývojářů na nelegálních fórech a charakteristiky obětí napovídají, že za útoky může být finanční motivace.