За последними атаками на власти в Европе могут стоять турецкие хакеры

За последними атаками на власти в Европе могут стоять турецкие хакеры

За масштабными кибератаками, поразившими органы власти и организации в Европе и на Среднем Востоке, могут стоять хакеры, действующие в интересах правительства Турции. К такому выводу пришли западные специалисты в области безопасности.

По имеющимся данным, киберпреступники атаковали по меньшей мере 30 организаций, в числе которых были госструктуры и посольства. Также среди жертв отмечаются греческие сервисы электронной почты и советник по вопросам национальной безопасности Ирака.

В ходе атак преступники перехватывали трафик к сайтам своих целей, что позволило получить доступ к сетям правительственных организаций. Специалисты в области кибербезопасности из США и Великобритании нашли связь этих киберопераций с группировкой, действующей в интересах турецких властей.

Эксперты утверждают, что их выводы строились на трёх показателях: личность и местоположение жертв (геополитически важные для Турции), схожесть с прошлыми атаками и используемая инфраструктура, зарегистрированная в Турции.

При этом исследователи отметили: на данном этапе не совсем ясно, какие именно люди или организации стоят за атаками, однако есть основания полагать, что оператор у всех кампаний был один и тот же — использовались те же серверы и другая инфраструктура.

Министерство внутренних дел Турции пока никак не отреагировало на данные заявления.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Финансистам и промышленникам России раздают бэкдор PhantomDL

В начале этого месяца защитные решения «Лаборатории Касперского» отбили две волны вредоносных рассылок на адреса российских организаций — госструктур, производственных предприятий, финансовых институтов, энергетических компаний.

Суммарно эксперты насчитали около 1000 адресов получателя. Анализ показал, что при открытии вредоносного вложения или активации вставленной ссылки в систему загружается написанный на Go вредонос PhantomDL (продукты Kaspersky детектируют его с вердиктом Backdoor.Win64.PhantomDL).

Поддельные сообщения были написаны от имени контрагента целевой организации и имитировали продолжение переписки. Исследователи предположили, что почтовые ящики отправителей могли взломать, а письма — украсть, чтобы придать убедительность подобным фейкам:

 

Вложенный или указанный ссылкой RAR-архив в большинстве случаев был запаролен. Он содержал маскировочный документ и одноименную папку с файлом, снабженным двойным расширением — например, Счёт-Фактура.pdf .exe.

Последний нацелен на уязвимость CVE-2023-38831 (разработчик WinRAR пропатчил ее в августе прошлого года). После отработки эксплойта в систему устанавливается PhantomDL, используемый для кражи файлов, а также загрузки и запуска дополнительных утилит, в том числе инструмента удаленного администрирования.

По данным экспертов, весной этого года через аналогичные рассылки авторы атак на территории России раздавали DarkWatchman RAT.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru