Recorded Future: «русские хакеры» используют легальные сервисы для атак с применением вредоносного ПО

Специалисты по информационной безопасности профильной компании Recorded Future сообщили об обнаружении новой кибероперации, в рамках которой якобы русские хакеры злоупотребляют легальными интернет-сервисами GitHub и FileZilla для развертывания множества вариантов вредоносного ПО. Об этом сказано в новом отчёте фирмы.

Аналитики отмечают, что хакеры в рамках выявленной кибероперации применяют адаптивную тактику и имеют достаточно широкие возможности, вследствие чего у экспертов по информационной безопасности возникают большие проблемы при процедуре отслеживания и защиты своих сетей от подобного типа киберугроз.

В компании Recorded Future заявляют, что с высокой долей вероятности хакерская группировка, которая сейчас проводит такие кибератаки, является русскоязычной. Основная цель для них — проникновение в операционные системы Windows и Mac OS для компрометации внутренней инфраструктуры заражённых организаций.

В частности, в ходе проведения своих атак хакеры развёртывают вредоносное ПО Atomic macOS Stealer (AMOS), последняя версия которого способна заражать компьютеры Mac как на базе Intel, так и на базе ARM.

Александр Лесли, аналитик по разведке угроз в Recorded Future, рассказал, что эта выявленная хакерская кампания является наиболее ярким примером злоупотребления злоумышленниками законными сервисами для перехвата учётных данных на нескольких платформах и архитектурах.

В ходе расследования вредоносного ПО Atomic macOS Stealer эксперты по кибербезопасности из Recorded Future обнаружили 12 веб-сайтов, которые выдавали себя за легальные приложения macOS: CleanShotX, 1Password и Bartender.

Все эти домены перенаправляли пользователей на профиль GitHub, принадлежащий пользователю с именем papinyurii33, предлагая им загрузить установочный носитель macOS, что приводило к заражению устройства AMOS infostealer.