Microsoft: Россия использовала 4 вредоноса в атаках от лица АМР США

Microsoft: Россия использовала 4 вредоноса в атаках от лица АМР США

Представители корпорации Microsoft заявили, что российская киберпреступная группировка использовала четыре новых семейства вредоносных программ в ходе недавних фишинговых атак. Уточним, что речь идёт о кампании, в которой якобы российские хакеры выдавали себя за Агентство США по международному развитию (АМР США).

Информация об использовании четырёх ранее неизвестных образцов вредоносов поступила от Microsoft Threat Intelligence Center (MSTIC). Как отметили специалисты, за кибероперацией стоит группировка под кодовым именем APT29 (Nobelium).

Используя скомпрометированный аккаунт и рассылая фишинговые письма, злоумышленники выдавали себя за АМР США. В общей сложности APT-группировка отправила приблизительно 3000 писем, а адресатами стали более 150 организаций (включая сферу международного сотрудничества, гуманитарную область и борьбу за права человека).

 

Согласно опубликованным Microsoft деталям, среди четырёх новых зловредов было вложение в виде HTML-файла — «EnvyScout». Также в связке присутствовали загрузчики «BoomBox» и «NativeZone», а за запуск шелл-кода отвечал «VaporRage». Первый злонамеренный файл в формате HTML/JS предназначен для кражи учётных данных аккаунтов пользователей Windows. Помимо этого, он устанавливает на устройство жертвы вредоносный ISO-файл.

«На этой стадии атаки ничего не подозревающий пользователь попытается открыть загруженный ISO-образ, однако в этом случае запустится скрытый исполняемый файл — BOOM.exe, который является частью семейства BoomBox», — пишет Microsoft.

BoomBox, кстати, по цепочке загружает и настраивает вредонос NativeZone, который предстаёт в виде библиотеки NativeCacheSvc.dll. Этот зловред запускается автоматически при каждом входе пользователя в аккаунт Windows.

Наконец, стоит отметить четвёртую ступень атаки, которую взял на себя вредонос VaporRage — CertPKIProvider.dll. После запуска эта программа пытается связаться с командным сервером (C2) и передать ему все украденные данные.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky фиксирует рост числа целевых атак во втором квартале 2021 года

Специалисты «Лаборатории Касперского» сообщили об увеличении числа целевых атак (APT), в которых используются серверы Microsoft Exchange. Такая тенденция, по словам исследователей, наблюдалась во втором квартале 2021 года.

Эксплойты для дыр в Microsoft Exchange использует неизвестная киберпреступная группировка, участники которой говорят, скорее всего, на китайском языке. «Лаборатория Касперского» называет эту шпионскую операцию GhostEmperor.

Злоумышленники выбрали себе в качестве целей государственные учреждения, телекоммуникационные компании и другие крупные организации, находящиеся в Юго-Восточной Азии.

В арсенале группы есть множество инструментов для сложных таргетированных кибератак. Эксперты «Лаборатории Касперского» считают, что группировка действует как минимум год — с июля 2020 года.

GhostEmperor отличается тем, что злоумышленники используют новый руткит, запускающийся и работающий с высокими правами в системе. Как отметили специалисты, руткит обходит проверку подписи драйверов Windows Driver Signature Enforcement с помощью схемы загрузки с софтом Cheat Engine.

Как можно понять из названия, Cheat Engine — программа с открытым исходным кодом, анализирующая игры и создающая чит-коды.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru