Новости Массовые кибератаки постигли десятки российских организаций: хакеры используют новый бэкдор

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
От фишинга до кражи паролей: как проходили атаки на российские институты.


579nw69ooisj3b7jhrrsktgggyt1idfs.jpg


Российские учреждения из государственного и индустриального сектора стали жертвами массовой кибератаки, обнаруженной Для просмотра ссылки Войди или Зарегистрируйся . Злоумышленники использовали фишинговые письма с вложенным вредоносным архивом, который запускал новый бэкдор на заражённых устройствах. Целью атаки была кража данных, таких как снимки экрана, документы, пароли из браузеров и информация из буфера обмена.

Атака началась в июне 2023 года и продолжалась до середины августа. Злоумышленники рассылали письма, имитирующие официальные сообщения от регулятора, с подложным документом в формате PDF и вредоносным архивом. Если жертва открывала архив, на её устройстве запускался скрипт [NSIS].nsi, который устанавливал бэкдор в скрытом окне. При этом название сайта, с которого загружался зловред, подражало сайту официального ведомства.

После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.

В середине августа злоумышленники обновили свой бэкдор, добавив новый модуль для кражи паролей из браузеров и увеличив количество проверок среды. Цепочка заражения осталась прежней. Среди отличий — злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.
 
Источник новости
www.securitylab.ru

Похожие темы