«Лаборатория Касперского»: хакеры начали атаковать российские госучреждения через «Живой Журнал»

Лаборатория Касперского: хакеры начали атаковать российские госучреждения через Живой Журнал

Image: OpenAI

Несколько недель назад специалисты по информационной безопасности Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили серию сложных целевых кибератак на отечественные компании ИТ-сектора и государственные структуры. Киберпреступная кампания, получившая название EastWind, направлена на компрометацию служебных и корпоративных данных.

В «Лаборатории Касперского» подчеркнули, что для первоначальной компрометации сети целевой организации киберпреступники активно рассылают электронные письма с архивами во вложениях, внутри которых находятся вредоносные ярлыки, замаскированные под различные виды документов. В случае, если пользователь нажимает на ярлык, начинается инсталляция на его устройство вредоносного программного обеспечения, взаимодействующего с хакерами с использованием облачного хранилища Dropbox.

После того как злоумышленникам удаётся проникнуть во внутреннюю IT-инфраструктуру целевой компании, они запускают на скомпрометированных устройствах вредоносное ПО, предназначенное для шпионажа. Одной из таких вредоносных программ является новая версия бэкдора CloudSorcerer, о которой эксперты «Лаборатории Касперского» рассказывали около месяца назад в своём отдельном отчёте.

По словам аналитиков, интересным моментом является то, что после публикации «Лабораторией Касперского» информации об этом вредоносном ПО, хакеры усовершенствовали программу и добавили возможность использования сервиса «Живой Журнал» в качестве первоначального командного сервера. Это нововведение было добавлено, чтобы лучше замаскировать активность CloudSorcerer.

Эксперты также указывают на то, что помимо вредоносного ПО CloudSorcerer, во время проведения таких атак злоумышленники также загружали на целевые устройства вредоносные инструменты, использование которых ранее было замечено у хакеров китайскоязычных группировок APT27 и APT31.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: