Một tác nhân đe dọa chưa từng được biết đến trước đây có tên NewsPenguin đã được liên kết với một chiến dịch lừa đảo nhắm vào các thực thể Pakistan bằng cách tận dụng hội chợ hàng hải quốc tế sắp tới như một mồi nhử.
"Kẻ tấn công đã gửi các email lừa đảo có mục tiêu với một tài liệu vũ khí đính kèm có mục đích là hướng dẫn triển lãm cho PIMEC-23", Nhóm Nghiên cứu và Tình báo BlackBerry cho biết.
PIMEC, viết tắt của Hội nghị và Triển lãm Hàng hải Quốc tế Pakistan, là một sáng kiến của Hải quân Pakistan và được tổ chức bởi Bộ Các vấn đề Hàng hải với mục đích "bắt đầu phát triển trong lĩnh vực hàng hải". Nó dự kiến được tổ chức từ ngày 10-12 tháng 2 năm 2022.
Công ty an ninh mạng Canada cho biết các cuộc tấn công được thiết kế để nhắm vào các thực thể liên quan đến hàng hải và khách tham quan sự kiện bằng cách lừa những người nhận tin nhắn mở tài liệu Microsoft Word dường như vô hại.
Khi tài liệu được khởi chạy, một phương pháp được gọi là chèn mẫu từ xa được sử dụng để tìm nạp tải trọng giai đoạn tiếp theo từ máy chủ do tác nhân điều khiển được định cấu hình để trả về thành phần lạ chỉ khi yêu cầu được gửi từ địa chỉ IP ở Pakistan.
BlackBerry cho biết họ nhận thấy máy chủ đang lưu trữ hai tệp lưu trữ ZIP không có bất kỳ biện pháp bảo vệ mật khẩu nào, một trong số đó bao gồm tệp thực thi Windows (bản cập nhật.exe) có chức năng như một công cụ gián điệp bí mật có khả năng bỏ qua hộp cát và máy ảo.
Hơn nữa, nội dung của tệp nhị phân được mã hóa bằng thuật toán mã hóa XOR, trong đó khóa XOR là "chim cánh cụt". Phản hồi HTTP chứa backdoor cũng đi kèm với tham số name trong tiêu đề phản hồi Content-Disposition được đặt thành "getlatestnews".
Cái tên NewsPenguin là một tham chiếu đến khóa XOR không phổ biến và tham số tên, với BlackBerry không tìm thấy sự chồng chéo chiến thuật nào kết nối phần mềm độc hại với bất kỳ tác nhân hoặc nhóm đe dọa nào hiện đang được biết đến.
Một phân tích về tên miền lưu trữ tải trọng cho thấy nó đã được đăng ký kể từ ngày 30 tháng 6năm 2022, cho thấy một số mức độ lập kế hoạch trước cho chiến dịch trong khi đồng thời thực hiện các bước để lặp lại bộ công cụ của nó.
"Vì mục tiêu là một sự kiện do Hải quân Pakistan điều hành, nó ngụ ý rằng tác nhân đe dọa đang tích cực nhắm vào các tổ chức chính phủ, thay vì đây là một cuộc tấn công có động cơ tài chính," BlackBerry nói.