Проанализирована активность APT-группы, использующей кастомные вредоносы

Проанализирована активность APT-группы, использующей кастомные вредоносы

Компания Symantec опубликовала отчет, в котором описала недавно обнаруженную кибершпионскую группу, которую специалисты антивирусного вендора назвали Leafminer. Эти киберпреступники специализируются на атаках на государственном уровне.

Leafminer, представляющая собой APT-группу, активна как минимум с начала 2017 года. Symantec обнаружила вредоносную программу этой группы на 44 компьютерах в нескольких странах.

Итого, вредонос был замечен в Саудовской Аравии (28), Ливане (8), Израиле (3) и Кувейте (1). Еще четыре системы остались неопознанными.

В процессе изучения этой группы специалистам Symantec также удалось получить доступ к одному из серверов, принадлежащих злоумышленникам. Он использовался для фишинга и распространения вредоносных программ.

Также на этом сервере был обнаружен список организаций, которые Leafminer «прощупывала» на предмет слабых мест, благодаря которым в будущем можно совершить успешную кибератаку.

Этот список содержит информацию о 809 организациях, расположенных в Саудовской Аравии, Объединенных Арабских Эмиратах, Катаре, Кувейте, Бахрейне, Египте, Израиле и Афганистане.

На сервере преступников удалось найти еще 112 файлов, среди которых была сама вредоносная программа, различные логи и другие инструменты, помогающие проводить целенаправленные атаки. Изучив все добытые данные, эксперты пришли к выводу, что группа атаковала, следуя трем основным схемам:

  1. Компрометация серверов с последующей атакой вида watering hole, которая помогала установить на компьютеры пользователей злонамеренную программу.
  2. Сканирование уязвимых сетей и использование эксплойтов для проникновения в них.
  3. Попытки угадать учетные данные целевых сетей, используя подбор по словарю. После этого вредонос вручную развертывался в системе.

Примечательно, что Leafminer использовала кастомные вредоносы, которые труднее обнаружить.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Британия передала 16 странам доказательства кибератак со стороны России

Правительство Великобритании утверждает, что передало 16 странам-союзникам НАТО доказательства вредоносной активности в киберпространстве со стороны России. По словам министра Джереми Ханта, Россия на протяжении 18 месяцев организовывала атаки на эти страны.

Как объяснил Хант, разведывательные силы России проводят «глобальную кампанию» в киберпространстве. Эти атаки направлены на критическую инфраструктуру целевых стран, заявил министр.

Свои обвинения Хант озвучил на конференции NATO Cyber Defence Pledge Conference, прошедшей в Лондоне. На этом же мероприятии присутствовал генеральный секретарь НАТО Йенс Столтенберг.

«Глобальная кампания России также нацелена на компрометацию центральных государственных систем. Я могу свидетельствовать, что на протяжении последних 18 месяцев Национальный центр кибербезопасности Великобритании делился соответствующей информацией с 16 странами-союзниками НАТО», — гласит отрывок речи Ханта.

«Все передаваемые данные касались кибератак со стороны России на упомянутые государства».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru