Специалисты по кибербезопасности из «Лаборатории Касперского» сообщают о новой серии целевых кибератак на десятки компьютеров российских государственных организаций и IT-компаний. В этой хакерской кампании, получившей название East Wind, засветилось вредоносное ПО от двух различных китаеязычных крупных группировок: APT27 и APT31.

В конце июля 2024 года мы выявили активную серию целевых кибератак на десятки компьютеров российских государственных организаций и IT-компаний. В ходе этих атак злоумышленники заражали устройства при помощи фишинговых писем с вложениями, содержащими вредоносные файлы ярлыков. При нажатии на ярлыки происходила установка вредоносного ПО, которое в дальнейшем получало команды через облачное хранилище Dropbox. С помощью этого ПО злоумышленники загружали на заражённые компьютеры дополнительных троянцев, в частности инструменты, используемые кибергруппировкой APT31, а также обновлённый бэкдор [вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником поражённым компьютером,  — прим.ред.] CloudSorcerer. [...] В атаках используется ранее неизвестный имплант c функциональностью классического бэкдора, который мы назвали PlugY. Он загружается через бэкдор CloudSorcerer, обладает обширным набором команд и поддерживает три различных протокола общения с командным центром. Кроме того, его код схож с кодом бэкдора DRBControl (также известен как Clambling), который несколько ИБ-компаний приписывают группировке APT27.
Пресс-служба «Лаборатории Касперского»

Чтобы замаскировать  вредоносный трафик, хакеры используют в качестве командных серверов популярные сетевые сервисы — GitHub, Dropbox, Quora, а также российские «Живой Журнал» и «Яндекс Диск».

Выявить их непросто: каждый из элементов-троянцев требует отдельный набор индикаторов компрометации.  В частности:

  • чтобы выявить работу бэкдора, распространяемого через электронную почту и использующего Dropbox для взаимодействия со злоумышленниками, можно провести поиск сравнительно больших по размеру (более 5 МБ) DLL-файлов, расположенных внутри директории C:\Users\Public. О работе этого бэкдора может также свидетельствовать регулярное обращение к облаку Dropbox в сетевом трафике;
  • троянец GrewApacha группировки APT31 может быть обнаружен поиском неподписанного файла с именем msedgeupdate.dll на файловой системе. Размер этого файла также составляет несколько мегабайт;
  •  имплант PlugY, доставляемый при помощи бэкдора CloudSorcerer, в ходе своей работы запускает процесс с именем msiexec.exe для каждого вошедшего в систему пользователя, а также создаёт именованные каналы с шаблоном имени \.\PIPE\Y<число>. Присутствие этих двух индикаторов на системе с высокой степенью уверенности свидетельствует о заражении.

В целом же специалисты по кибербезопасности советуют использовать для своих компаний и структур защитные решения из официальных источников,  регулярно обновлять их, а так же обучать базовой кибербезопасности сотрудников, чтобы они игнорировали фишинговые письма, подозрительные ссылки и файлы.

Читать материалы по теме:

Украдёт ваши контакты, тексты и нюдсы из переписок: в России найден новый кибершпион LianSpy

Российская Fplus создала первый криптозамок для защищённого управления серверами

Не своим голосом: ЦБ предупредил россиян, что мошенники научились использовать дипфейки

Взлом Telegram с помощью ИИ — как мошенники в России используют ваш голос и паспорт. Просьбы перевести деньги зазвучат вашим голосом — и им, скорее всего, поверят

Комментировать

Сейчас на главной