Кибершпионы атакуют организации в России и Украине

image

Теги: кибератака, шпионаж, Россия, Украина

В ходе операции BugDrop компрометации подверглись по меньшей мере 70 организаций.

Эксперты компании CyberX, специализирующейся на кибербезопасности, обнаружили новую кампанию по кибершпионажу, направленную на российские и украинские организации. В рамках кампании, получившей название Operation BugDrop, злоумышленники инфицируют целевые системы вредоносным ПО, предназначенным для извлечения данных и слежки за деятельностью жертв.

Согласно докладу CyberX, компрометации подверглись по меньшей мере 70 организаций, в числе которых объекты критической инфраструктуры Украины, медиакомпании и научно-исследовательские центры. В числе жертв также оказались ряд организаций из Саудовской Аравии и Австрии.


Как полагают исследователи, кибергруппировка обладает значительными кадровыми и финансовыми ресурсами и, возможно, спонсируется каким-либо правительством.

В атаках злоумышленники используют вредоносное ПО, способное делать снимки экрана, записывать аудио, собирать информацию о системе (версия ОС, имя пользователя, IP-адрес, MAC-адрес, используемый антивирус), а также похищать документы и пароли. Вредонос распространяется посредством фишинговых писем, содержащих вложения в виде документа Microsoft Office с вредоносным макросом. При открытии документа запускается вредоносный скрипт VBScript и отображается диалоговое окно с текстом на украинском языке, хотя оригинальный язык документа - русский.

Эксперты также отметили сходство применяемых в BugDrop техник с кампаний Groundbait, обнаруженной аналитиками ESET в мае 2016 года. Однако в отличие от последней, организаторы BugDrop применяют более сложные методы для сокрытия своей деятельности. В частности, злоумышленники используют Dropbox и бесплатные хостинги для поддержания анонимности и шифрования похищенных данных. Кроме того, применяется техника Reflective DLL-injection (рефлексивная/отраженная DLL-инъекция) для обхода процедур верификации Windows API.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus