Документы Word используются для атак международных гуманитарных движений

Олег Иванов 06 Марта 2018 - 11:03

Домашние пользователи

...

Недавно обнаруженная операция кибершпионажа на национальном уровне направлена на организации гуманитарной помощи по всему миру. Злоумышленники используют бэкдоры, скрытые во вредоносных документах Word.

Вредоносная кампания получила имя Honeybee из-за названия документов-приманок, используемых в атаках. Honeybee обнаружили исследователи антивирусной компании McAfee, также они идентифицировали вредоносную программу, используемую в атаках и распространяемую с помощью фишинговых писем — бэкдор Syscon.

Эксперты утверждают, что это модифицированная версия оригинального Syscon, впервые обнаруженного в августе. Этот бэкдор позволяет шпионить за пользователем зараженной машины, а также красть данные.

Syscon использует FTP-сервер в качестве командного центра, некоторые специалисты связывают этот бэкдор с другими вредоносными кампаниями, которые приписывают Северной Корее.

Обнаруженная McAfee вредоносная кампания стартовала в январе, зловред доставляется с помощью документов Word, имя автора которых значится как «Honeybee».

Вредоносный документ содержит макрос Visual Basic, при активации которого на компьютер устанавливается Syscon. Злонамеренное содержимое скрывается в закодированных данных Visual Basic Script.

Некоторые из вредоносных писем рассылались под темой «Международное движение Красного Креста и Красного Полумесяца — Офис КНДР», именно они участвовали в распространении бэкдора.

Уловки, используемые злоумышленниками в Honeybee, банальны — жертве предлагается разрешить выполнение содержимого для открытия документа. Если пользователь соглашается, запускается вредоносный макрос.

«Вредоносная программа предназначена для сбора информации о зараженной системе, котоаря впоследствии может использовать для шпионажа», — объясняет старший аналитик компании McAfee.

Помимо основного вредоноса, идентифицированного как Syscon, во вредоносной кампании используется Win32-дроппер, получивший имя MaoCheng. Он отметился тем, что использует цифровую подпись от Adobe Systems.

«Это попытка обойти механизмы безопасности в Windows», — комментирует специалист McAfee.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:25

Атаки на сайты DDoS-атаки Малый и средний бизнес ГК «Солар»

ГК Солар фиксирует волну атак на сайты малого и среднего бизнеса

В преддверии летнего сезона специалисты сервиса Solar Space (ГК «Солар») фиксируют резкий рост кибератак на сайты санаториев, гостиниц, пансионатов, небольших туроператоров, а также фитнес-клубов и сервисов аренды свадебного декора.

Как отмечают в ГК «Солар», это отражает общую тенденцию увеличения количества атак на веб-ресурсы малого и среднего бизнеса. За ними могут стоять как политически мотивированные хактивисты, так и недобросовестные конкуренты.

С технической точки зрения атаки делятся на два основных типа. Первый — классические DDoS-атаки, цель которых — сделать сайт недоступным для пользователей. Второй — атаки с использованием ботов, создающих фиктивные бронирования и мешающих настоящим клиентам воспользоваться услугами.

Эксперты рекомендуют бизнесу как минимум обеспечить базовую защиту от DDoS и автоматизированной вредоносной активности. Также необходимо организовать постоянный мониторинг, чтобы своевременно оценивать нагрузку на сайт и оперативно реагировать на инциденты.

«Подобные атаки направлены как на нанесение ущерба пользователям, которые могут остаться без нужных услуг, так и на подрыв деятельности самих компаний, теряющих потенциальную прибыль. При этом злоумышленниками могут быть как идеологически мотивированные группы, так и хакеры, действующие по заказу конкурентов», — комментирует Артём Избаенков, директор платформы облачной киберзащиты Solar Space ГК «Солар».

Документы Word используются для атак международных гуманитарных движений

Читайте также