ESET наблюдает за деятельностью данной кибергруппы с середины 2017 года. Злоумышленники используют три инструмента удаленного управления: Quasar, Sobaken и Vermin. Вредоносные программы позволяют управлять зараженными системами и красть конфиденциальные документы. Они одновременно применяются на одних и тех же целевых компьютерах, частично делят инфраструктуру и подключаются к общим управляющим серверам.
Quasar – инструмент удаленного управления на базе открытого исходного кода, доступного на GitHub. Специалисты ESET отследили кампании с использованием Quasar с октября 2015 года.
Sobaken – модифицированная версия Quasar. Ее авторы отказались от части функций вредоносной программы, чтобы сделать исполняемый файл меньше, а также внедрили инструменты для обхода песочницы и другие техники, позволяющие избегать обнаружения.
Vermin – сложный кастомный бэкдор, разработанный для данной кампании. Он был впервые замечен «в дикой природе» в середине 2016 года и в настоящее время продолжает использоваться. Как Quasar и Sobaken, он написан в .NET. Код вредоносной программы защищен от анализа с помощью коммерческой системы защиты и общедоступных инструментов.
Последняя известная версия Vermin поддерживает 24 команды и несколько дополнительных – например, предусмотрена функция записи звука с микрофона зараженного устройства, кейлоггер (перехват нажатия клавиш) и средство кражи паролей.
Вредоносные программы распространяются с помощью фишинговых рассылок. В большинстве случаев названия файлов-приманок написаны на украинском языке и имеют отношение к работе потенциальных жертв. Помимо социальной инженерии, атакующие используют технические средства: сокрытие настоящих расширений файлов с помощью символа Unicode, замаскированные под архивы RAR вложения, документы Word с эксплойтом уязвимости CVE-2017-0199.
Данная кампания доказывает, что кибершпионские операции, построенные на социальной инженерии, могут быть не менее успешны, чем атаки с использованием сложного вредоносного ПО. Это подчеркивает важность обучения персонала, а также необходимость внедрения комплексных решений для безопасности.
Хронология киберкампании:
Источник: пресс-релиз компании
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
May oyida "Samarqand 2028" sun’iy yo‘ldoshi uchirilishi kutilmoqda."Samarqand 2028" sun’iy yo‘ldoshi Xitoyning StarVision kompaniyasi tomonidan ishlab chiqilgan..
-
![]()
"Атлетико" - "Барселона". Тахминий таркиблар билан танишингШанба оқшомида Ла Лига 30-тури доирасидаги "Атлетико" - "Барселона" учрашуви бўлиб ўтади.
-
![]()
Почему грейпфрут горчит и можно ли убрать горечь: учёные уже сделали это, но есть нюансИсследователи заблокировали активность гена, который отвечает за горький вкус грейпфрутов Грейпфрут — один из самых полезных цитрусов (хотя у...
-
![]()
Хедира "Реал" учун идеал футболчи кимлигини айтдиЎтмишда «Реал» сафида тўп сурган машҳур германиялик футболчи Сами Хедира «қироллик клуби» учун янги номзод танлади.
-
![]()
"Бунақаси ҳали бўлмаган": Гвардиола "Ливерпуль"ни мағлуб этиб, тарихий рекорд ўрнатмоқчиБугун, 4 апрель куни Англия Кубоги чорак финали доирасида «Манчестер Сити» «Ливерпуль»га қарши баҳс олиб боради.
-
![]()
“Kimning qorni og‘rib qolsa, san’atkorga osiladi” - Yulduz Usmonova soliq tizimida kutilayotgan o‘zgarish va isrofgarchilik haqida.“Qaysi tadbirda o‘tirsam, mening qo‘shig‘im qo‘yiladi. Avval mening mualliflik huquqim uchun pulimni yig‘ib bersin davlatimiz, keyin soliqdan...
