Шпионская кампания примечательна способом отправки украденных файлов.
Специалисты Лаборатории Касперского Для просмотра ссылки Войдиили Зарегистрируйся , что в ДНР, ЛНР и Крыму с 2021 года проводится кампания кибершпионажа, нацеленная на правительственные, сельскохозяйственные и транспортные организации.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся Лаборатории Касперского, в этой кампании хакеры используют вредоносные программы CommonMagic и PowerMagic, которые позволяют делать скриншоты экрана и похищать файлы с подключённых носителей, пересылая их злоумышленникам в облако.
Предположительно, атака начинается с рассылки фишинговых писем от имени госорганизаций. При нажатии на ссылку в письме жертва скачивает вредоносный ZIP-архив, содержащий 2 файла:
Документ-приманка в формате PDF со ссылкой на вредоносный ярлык
PowerMagic устанавливает постоянство в системе и сохраняется в ней даже после перезагрузки устройства. Также PowerMagic используется для развертывания фреёмворка CommonMagic, который состоит из нескольких модулей. CommonMagic может похищать файлы с USB-устройств, а также делать скриншоты каждые 3 секунды и отправлять их киберпреступникам.
«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры ( C2 , C&C) используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — отметил Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».
Специалисты Лаборатории Касперского Для просмотра ссылки Войди
Согласно Для просмотра ссылки Войди
Предположительно, атака начинается с рассылки фишинговых писем от имени госорганизаций. При нажатии на ссылку в письме жертва скачивает вредоносный ZIP-архив, содержащий 2 файла:
- безвредный документ-приманка (в формате PDF, XLSX или DOCX);
- вредоносный LNK-файл с двойным расширением (например, «.pdf.lnk»).
Документ-приманка в формате PDF со ссылкой на вредоносный ярлык
PowerMagic устанавливает постоянство в системе и сохраняется в ней даже после перезагрузки устройства. Также PowerMagic используется для развертывания фреёмворка CommonMagic, который состоит из нескольких модулей. CommonMagic может похищать файлы с USB-устройств, а также делать скриншоты каждые 3 секунды и отправлять их киберпреступникам.
«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры ( C2 , C&C) используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — отметил Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».
- Источник новости
- www.securitylab.ru