Злоумышленники атакуют российские госучреждения через «Живой Журнал»

В конце июля эксперты Kaspersky GReAT выявили серию сложных целевых атак на российские ИТ-компании и государственные организации

Злоумышленники атакуют российские госучреждения через «Живой Журнал» — Источник изображения: Сгенерировано нейросетью

Вредоносная кампания, которая получила название EastWind, была направлена на кражу служебной информации.

Начало атаки. Для первоначального заражения организаций злоумышленники рассылали письма с архивами во вложении. Внутри этих архивов находились вредоносные ярлыки, замаскированные под документы. При нажатии на ярлыки начиналась установка троянской программы, взаимодействующей со злоумышленниками при помощи облачного хранилища Dropbox.

Кража информации. После проникновения в сети организаций злоумышленники запускали на зараженных компьютерах вредоносные программы, предназначенные для кибершпионажа. Одной из них оказалась обновленная версия бэкдора CloudSorcerer, о котором «Лаборатория Касперского» сообщила в начале июля. Примечательно, что вскоре после публикации об этом бэкдоре злоумышленники усовершенствовали его, добавив в него возможность использовать российскую социальную сеть «Живой Журнал» в качестве первоначального командного сервера. Данное нововведение было разработано, чтобы тщательнее маскировать активность бэкдора.

Помимо CloudSorcerer, на компьютеры также загружались вредоносные инструменты, используемые говорящими на китайском языке кибергруппами APT27 и APT31. Эти зловреды обладают обширной функциональностью: они позволяют злоумышленникам осуществлять кражу файлов, наблюдать за действиями на экране и записывать нажатия клавиш на зараженных устройствах.

«В рамках кампании EastWind злоумышленники стараются тщательно маскировать свою вредоносную активность, используя для этого популярные сайты, такие как Dropbox и «Живой Журнал». Стоит также отметить, что в ходе обнаруженных атак применялось вредоносное ПО двух групп, которые при этом говорят на одном языке — китайском. Это является признаком того, что данные группы работают совместно, активно обмениваются знаниями и инструментами для атак. Как показывает практика, подобное взаимодействие позволяет продвинутым злоумышленникам работать более эффективно», — комментирует Георгий Кучерин, эксперт Kaspersky GReAT.

Предыдущая новость

Решение Kaspersky получило сертификат качества

Следующая новость

Представлены детали атак Head Mare на компании в России и Беларуси

Интересное: