«Лаборатория Касперского» зафиксировала войну между киберпреступными группировками

Эксперты «Лаборатории Касперского»  сообщили  о весьма редкой и необычной вредоносной кампании, которую они назвали «Империя наносит ответный удар». Кампания выглядит как война между двумя различными хакерскими группировками, в ходе которой одни злоумышленники атакуют других. По словам экспертов, «Империя наносит ответный удар» может символизировать начало новой тенденции в киберпреступной деятельности – войны в сфере расширенных постоянных угроз или APT-войны.

Анализируя активность известной группировки Naikon, занимающейся кибершпионажем в Азиатско-Тихоокеанском регионе, исследователи обнаружили, что хакеры стали жертвами атаки другой, совсем непримечательной группы Hellsing. Эксперты зафиксировали, что одна из предполагаемых жертв Naikon попыталась контратаковать противника с помощью фишинговых писем с вредоносным вложением.

Получив подозрительное фишинговое письмо от Naikon, потенциальная жертва из госучреждения одной из стран Азиатско-Тихоокеанского региона вступила в переписку с атакующим. Пользователь ответил на письмо с просьбой подтвердить личность его автора. Будучи хорошо знакомым с внутренней структурой атакуемого учреждения, злоумышленник назвался сотрудником секретариата.

Не открывая вредоносное вложение, пользователь отправил атакующему еще одно письмо с RAR-архивом, содержащим два PDF- и один SCR-файл. Эксперты обнаружили, что последний представлял собой бэкдор, специально предназначенный для Naikon. Подобная контратака свидетельствует о том, что Hellsing пыталась идентифицировать Naikon и собирала информацию об этой группировке.

Более подробный анализ активности Hellsing показал, что ее участники рассылали большое количество вредоносных писем с целью распространения шпионского ПО в государственных организациях Малайзии, Филиппин, Индонезии, Индии и даже США (дипломатических органах).