Новости Неизвестные хакеры шпионят в ДНР, ЛНР и Крыму с помощью ранее неизученного бэкдора

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Шпионская кампания примечательна способом отправки украденных файлов.


qht8v6czmsppe5yq3aizcdkomjwzf2ji.jpg


Специалисты Лаборатории Касперского Для просмотра ссылки Войди или Зарегистрируйся , что в ДНР, ЛНР и Крыму с 2021 года проводится кампания кибершпионажа, нацеленная на правительственные, сельскохозяйственные и транспортные организации.

Согласно Для просмотра ссылки Войди или Зарегистрируйся Лаборатории Касперского, в этой кампании хакеры используют вредоносные программы CommonMagic и PowerMagic, которые позволяют делать скриншоты экрана и похищать файлы с подключённых носителей, пересылая их злоумышленникам в облако.

Предположительно, атака начинается с рассылки фишинговых писем от имени госорганизаций. При нажатии на ссылку в письме жертва скачивает вредоносный ZIP-архив, содержащий 2 файла:

  1. безвредный документ-приманка (в формате PDF, XLSX или DOCX);
  2. вредоносный LNK-файл с двойным расширением (например, «.pdf.lnk»).
При открытии ярлыка, на устройство доставляется бэкдор PowerMagic. Она получает команды из удалённой папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако.


sqneqc1xnt16a8zdy8q7wa2b01oy6v01.png


Документ-приманка в формате PDF со ссылкой на вредоносный ярлык

PowerMagic устанавливает постоянство в системе и сохраняется в ней даже после перезагрузки устройства. Также PowerMagic используется для развертывания фреёмворка CommonMagic, который состоит из нескольких модулей. CommonMagic может похищать файлы с USB-устройств, а также делать скриншоты каждые 3 секунды и отправлять их киберпреступникам.

«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры ( C2 , C&C) используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — отметил Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».
 
Источник новости
www.securitylab.ru

Похожие темы