Ny skadlig kod – Laziok

Av Robert Malmgren

Den senaste veckan har det varit en del skriverier om en ny skadlig kod, Laziok, som angriper organisationer i energisektorn. De första rapporterna inföll med 1a april, vilket ibland kunde ses som ett tecken.

Enligt Symantec, antivirus- och säkerhetsföretaget som först rapporterade om Laziok, så började man se spår av Laziok i början av 2015, vilket gör att spridningen har pågått i några månader då detta har blivit publikt.

Det går att beteckna Laziok som phishing eller spearphisingmail, epostbrev med skadliga bilagor adresserade till utvalda offer, som används i riktade attacker mot organisationer, vilka har valts ut till måltavla. Själva Laziok-hotet är att den skadliga koden stjäl information när väl programkoden exekverats på offrets dator, som sitter i målorganisationens IT-miljö och därmed exponerar andra informationskällor varifrån stölder kan ske.

Tekniskt sett så angriper och sprider sig Laziok genom att det är smittade bilagor till e-post, det som har rapporterats mest om är excel-filer vilka innehåller skadlig kod. Denna skadliga kod utnyttjar en sedan tre år känd, och av Microsoft åtgärdad, sårbarhet i Windows. Förutom informationsstöldsdelen så finns det rapporter om att Laziok också kan bestå av en fjärrstyrd trojansk häst (ofta kallad RAT, remote access trojan).

Laziok förefaller vara ett verktyg som främst används i ett tidigt skede, då rekognoscering av offer och deras respektive grad av att vara intressanta att göra mer fullständiga angrepp.

Ett problem är att det finns relativt få förstahandsobservationer eller bra rapporter. Många bloggar, nyhetsartiklar eller annan rapportering är i stort sett omskrivna varianter av Symantecs ursprungliga blogginlägg där Laziok första gången beskrevs.

För svenska läsare av information på energisäkerhetsportalen så finns det några saker som gör att åtminstone det i dagsläget kan betecknas som icke akut eller möjligen irrelevant:

1) Rapporterna talar mest om att angrepp skett mot olje- och gasbolag.

2) Vid sidan av UK, så finns det inga kända rapporter om att Laziok skall ha drabbat organisationer i något europeiskt land. Symantec rapporterar att de flesta upptäckta angreppen har skett i mellanöstern.

3) De flesta välkända antivirusbolag skall idag ha signaturer i sina produkter så att de upptäcka förekomsten av Laziok.

På sedvanligt rörigt maner i antivirusbranschen, så går denna skadliga kod under andra benämningar än Laziok  om man har andra antivirusprodukter.

Dock bör det tilläggas - att om ens organisations antivirusprogram larmar om att Laziok har detekterats bland epost eller installerat på en dator, så kan det vara läge att göra en större utredning för att se ifall ens organisation är ett utvalt mål samt inte minst, att se ifall själva incidenten egentligen har kommit förbi rekognoceringssteget och man även är angripen på andra sätt.

Referenser:

[1]

http://www.symantec.com/connect/blogs/new-reconnaissance-threat-trojanlaziok-targets-energy-sector

[2]

http://www.darkreading.com/laziok-trojan-exploits-three-year-old-windows-flaw-/d/d-id/1319736