Международная антивирусная компания ESET обнаружила новую модификацию бэкдора Okrum. Анализ образцов дает основание полагать, что они входят в арсенал хакерской группировки Ke3chang (также известной как APT15).
Несмотря на техническую простоту Okrum, злоумышленники умеют скрывать его присутствие. Например, загрузчик вредоносной программы спрятан в PNG-файле, а дополнительные зашифрованные файлы не видны пользователю. Операторы бэкдора также скрывают вредоносный трафик с помощью C&C-сервера.
«Некоторые вредоносные образцы, использованные против словацких компаний, связывались с доменом, который имитировал словацкий картографический портал», — комментирует эксперт ESET Зузана Хромцова.
Впервые Okrum был детектирован в декабре 2016 года. В течение 2017 года бэкдор использовался для таргетированных атак на дипломатические миссии и госучреждения в Словакии, Бельгии, Бразилии, Чили и Гватемале.
При этом злоумышленники нацеливались на организации, ранее пострадавшие от другого семейства вредоносных программ под названием Ketrican.
Бэкдор Ketrican был зафиксирован в 2015 году — тогда ESET заметила подозрительную активность в Словакии, Хорватии, Чехии и ряде других стран. Проанализировав образцы вредоносного ПО, эксперты решили, что они входят в набор группировки Ke3chang. В последующие годы ESET фиксировала появление новых версий этого бэкдора.
«Мы выяснили, что вредоносные программы Okrum и Ketrican использовались при атаках на одни и те же дипломатические учреждения, — говорит эксперт ESET Зузана Хромцова. — Группировка по-прежнему активна — в марте 2019 года мы зафиксировали очередной образец Ketrican».
Киберпреступники из Ke3chang активны как минимум с 2010 года. Цель хакеров — шпионаж за дипломатическими организациями в Европе. Подробный отчет о вредоносной активности Ke3chang — по ссылке (pdf).
16+
Информация, размещенная на сайте, предназначена для лиц старше 16 лет. © Информационно-деловой портал iluki.ru Зарегистрирован в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций. Свидетельство о регистрации средства массовой информации Эл № ФС77-45157 от 20 мая 2011 г. Учредитель - ООО "МТК". Проект группы компаний “МАРТ”. Главный редактор Васильев С.В. Тел/Факс редакции: 8(81153)45-004; E-mail редакции: red@iluki.ru, по рекламе reklama@iluki.ru. При полном или частичном использовании материалов ссылка (при публикации в сети Internet - гиперссылка) на iluki.ru обязательна!
© 2024 iluki.ru. Все права защищены.