В атаках на украинских военных использовался бэкдор RATVERMIN

Олег Иванов 17 Апреля 2019 - 14:33

Таргетированные атаки

...

В атаках на украинских военных использовался бэкдор RATVERMIN

Стало известно имя вредоносной программы, которая фигурировала в атаках на военные ведомства Украины. Оказалось, что киберпреступники использовали бэкдор RATVERMIN в качестве второй стадии заражения. Вредонос устанавливался с помощью Powershell-скрипта.

Напомним, что кибератаки на Украину зафиксировали исследователи компании FireEye. Принято считать, что за этой кибероперацией стоит хакерская группа, связанная с Луганской Народной Республикой.

В FireEye считают, что данная киберпреступная группа была активна с 2014 года, а ее цели в основном расположены на территории Украины.

«Киберпреступники использовали EXE-файл — в других случаях был замечен самораспаковывающийся архив RAR (SFX) — для заражения своих жертв. Далее группа задействовала вредоносные программы с открытым исходным кодом — QUASARRAT и RATVERMIN. Это отличительная черта данных злоумышленников», — описывают исследователи недавние атаки.

Все начиналось с фишинговых писем, замаскированных под отправленные британской компанией Armtrac уведомления. К этим письмам прилагались множественные вложения, цель которых заключалась в том, чтобы ввести пользователя в заблуждение.

В конечном счете жертва запускала скрипт Powershell, который выступал в качестве дроппера (был замаскирован под фай LNK). При этом у вредоносного файла было расширение PDF, а иконка от документа Microsoft Word.

Сам же бэкдор RATVERMIN, представляющий собой инструмент для удаленного доступа к компьютеру, использовался по меньшей мере с января 2018 года. RATVERMIN позволяет злоумышленнику запускать в системе команды любого вида.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 25 Ноября 2025 - 10:00

Фишинг Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Фишинговые сайты под Минобрнауки крали аккаунты учащихся на Госуслугах

Специалисты выявили сеть фишинговых ресурсов, в которую входили сайты, маскирующиеся под официальные страницы Минобрнауки и Госуслуг. Основной целевой аудиторией кампании были ученики. Злоумышленники распространяли ссылки разными каналами, используя доменные имена со словом minobrnauki. Все выявленные ресурсы уже направлены на блокировку.

Как сообщили в компании Angara MTDR, цель атак заключалась в сборе персональных данных и краже аккаунтов учащихся на Госуслугах.

Для доступа к поддельному сайту пользователю предлагалось пройти авторизацию, указав ФИО, номер телефона, ИНН, СНИЛС или паспортные данные. Форма входа полностью копировала интерфейс Личного кабинета учащегося.

После ввода данных происходило перенаправление на второй мошеннический сайт, имитирующий Портал Госуслуг. Там пользователю демонстрировалось «подозрительное» входное событие с нового устройства, и предлагалось «восстановить доступ» через телефонный звонок или телеграм-бота. На этом этапе и происходила кража учётных данных, включая второй фактор.

При этом, как подчеркнули в компании, мошенники автоматически перехватывали подтверждающие коды из СМС: система подставляла полученные цифры в нужное поле без участия пользователя. Это делает схему особенно опасной.

Angara MTDR направила все выявленные сайты на блокировку в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

В августе аналогичную фишинговую кампанию пресекла компания F6. Тогда злоумышленники нацеливались на пользователей сервиса «Электронный дневник».