Onlangs heeft Unit 42, het threat intelligence team van Palo Alto Networks, nieuw onderzoek gepubliceerd naar een zeldzame malware van een onbekende bedreigingsactor. Deze actor heeft een exploit van de Turla Group een nieuwe bestemming gegeven met als doel Russische organisaties te raken.
De belangrijkste bevindingen zijn:
- Bekend als "AcidBox": de naam is een anagram van de naam van het stuurprogramma van de malware. Het tweede deel van de naam is afkomstig van VirtualBox, een exploit die wordt gebruikt door de Turla Group (waarvan de Estse buitenlandse inlichtingendienst gelooft dat deze van Russische oorsprong is en namens de FSB opereert).
- Gebruikt in 2017 en mogelijk nog steeds in gebruik: de onbekende bedreigingsactor gebruikte AcidBox in gerichte aanvallen op twee Russische organisaties in 2017. Het is waarschijnlijk dat deze malware nog steeds wordt gebruikt als de hacker nog steeds actief is.
- Tot nu toe niet ontdekt: de malware werd ontdekt in februari vorig jaar. Unit 42 werkte samen met Kaspersky, ESET en Dr.Web om de malware te analyseren en de oorsprong en de slachtoffers ervan op te sporen.