ESET раскрывает детали кибершпионской операции

2018-07-25 16:17
ESET раскрывает детали кибершпионской операции

Специалисты ESET обнаружили новую кибершпионскую кампанию, нацеленную на правительственные учреждения Украины. По данным телеметрии ESET, насчитывается несколько сотен жертв в разных организациях.

ESET наблюдает за деятельностью данной кибергруппы с середины 2017 года. Злоумышленники используют три инструмента удаленного управления: Quasar, Sobaken и Vermin. Вредоносные программы позволяют управлять зараженными системами и красть конфиденциальные документы. RAT используют общую инфраструктуру и обращаются к одним и тем же управляющим серверам.

Quasar – инструмент удаленного управления на базе открытого исходного кода, доступного на GitHub. Специалисты ESET отследили кампании с использованием Quasar с октября 2015 года.

Sobaken – модифицированная версия Quasar. Ее авторы отказались от части функций вредоносной программы, чтобы сделать исполняемый файл меньше, а также внедрили инструменты для обхода песочницы и другие техники, позволяющие избегать обнаружения.

Vermin – сложный кастомный бэкдор, разработанный для данной кампании. Он был впервые замечен «в дикой природе» в середине 2016 года и в настоящее время продолжает использоваться. Как Quasar и Sobaken, он написан в .NET. Код вредоносной программы защищен от анализа с помощью коммерческой системы защиты и общедоступных инструментов.

Последняя известная версия Vermin поддерживает 24 команды и несколько дополнительных – например, предусмотрена функция записи звука с микрофона зараженного устройства, кейлоггер (перехват нажатия клавиш) и средство кражи паролей.

Вредоносные программы распространяются с помощью фишинговых рассылок. В большинстве случаев названия файлов-приманок написаны на украинском языке и имеют отношение к работе потенциальных жертв. Помимо социальной инженерии, атакующие используют технические средства: сокрытие настоящих расширений файлов с помощью символа Unicode, замаскированные под архивы RAR вложения, документы Word с эксплойтом уязвимости CVE-2017-0199.

Данная кампания доказывает, что кибершпионские операции, построенные на социальной инженерии, могут быть не менее успешны, чем атаки с использованием сложного вредоносного ПО. Это подчеркивает важность обучения персонала, а также необходимость внедрения комплексных решений для безопасности.

iluki.ru

популярные новости

Великолучанка, ребенок которой погиб после падения из окна, найдена мертвой

Двухлетний малыш умер после падения из окна в Великих Луках

6-летняя девочка упала из окна в Великих Луках

Маршрутка Москва - Великие Луки попала в страшное ДТП на трассе М-9 «Балтия»

Обстоятельства жесткого ДТП с участием мотоциклиста и велосипедистки в Великих Луках и диагнозы пострадавших существенно изменились (+ ФОТО)

ФОТО: памятник железнодорожникам, погибшим в результате страшного ДТП в июле этого года, появился в Псковской области

Страшное ДТП в Псковской области: 1 человек погиб, 4 ранены (ФОТО)

О состоянии девочки, выпавшей вчера из окна 5-го этажа в Великих Луках

Мотоциклист и велосипедистка столкнулись на встречной полосе в Великих Луках (ФОТО)

ЧП в Великих Луках: новый случай падения ребенка из окна прокомментировал Следственный комитет

Подпишись на канал