Логин:
Пароль:
Зарегистрироваться или войти через
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

ESET раскрывает детали кибершпионской операции
25 Июля 2018

ESET раскрывает детали кибершпионской операции


     

Специалисты ESET обнаружили новую кибершпионскую кампанию, нацеленную на правительственные учреждения Украины. По данным телеметрии ESET, насчитывается несколько сотен жертв в разных организациях.

ESET наблюдает за деятельностью данной кибергруппы с середины 2017 года. Злоумышленники используют три инструмента удаленного управления: Quasar, Sobaken и Vermin. Вредоносные программы позволяют управлять зараженными системами и красть конфиденциальные документы. Они одновременно применяются на одних и тех же целевых компьютерах, частично делят инфраструктуру и подключаются к общим управляющим серверам.

Quasar – инструмент удаленного управления на базе открытого исходного кода, доступного на GitHub. Специалисты ESET отследили кампании с использованием Quasar с октября 2015 года.

Sobaken – модифицированная версия Quasar. Ее авторы отказались от части функций вредоносной программы, чтобы сделать исполняемый файл меньше, а также внедрили инструменты для обхода песочницы и другие техники, позволяющие избегать обнаружения.

Vermin – сложный кастомный бэкдор, разработанный для данной кампании. Он был впервые замечен «в дикой природе» в середине 2016 года и в настоящее время продолжает использоваться. Как Quasar и Sobaken, он написан в .NET. Код вредоносной программы защищен от анализа с помощью коммерческой системы защиты и общедоступных инструментов.

Последняя известная версия Vermin поддерживает 24 команды и несколько дополнительных – например, предусмотрена функция записи звука с микрофона зараженного устройства, кейлоггер (перехват нажатия клавиш) и средство кражи паролей.

Вредоносные программы распространяются с помощью фишинговых рассылок. В большинстве случаев названия файлов-приманок написаны на украинском языке и имеют отношение к работе потенциальных жертв. Помимо социальной инженерии, атакующие используют технические средства: сокрытие настоящих расширений файлов с помощью символа Unicode, замаскированные под архивы RAR вложения, документы Word с эксплойтом уязвимости CVE-2017-0199.

Данная кампания доказывает, что кибершпионские операции, построенные на социальной инженерии, могут быть не менее успешны, чем атаки с использованием сложного вредоносного ПО. Это подчеркивает важность обучения персонала, а также необходимость внедрения комплексных решений для безопасности.

Голосование:
(Голосов: 5, Рейтинг: 3.75)
Поделиться:
Комментарии

Оставлять комментарии могут только авторизованные пользователи.
Перейти на страницу авторизации