Шпионы из CopyKittens следят за членами Бундестага и турецкими дипломатами

Шпионы из CopyKittens следят за членами Бундестага и турецкими дипломатами

В список интересов группировки входят госструктуры, оборонные компании, IT-компании и сотрудники ООН.

Эксперты Trend Micro и ClearSky опубликовали отчет о деятельности связанной с Ираном кибергруппировки CopyKittens, которая за последние четыре года провела ряд атак на правительственные структуры в различных странах мира, информационные ресурсы в Германии и Турции, а также на крупные IT-компании и сотрудников ООН.

Первая информация о CopyKittens появилась в ноябре 2015 года, но, по мнению специалистов, группировка активна по меньшей мере с 2013 года. Изначально хакеры атаковали преимущественно цели в Израиле, в том числе дипломатов и исследователей, но затем расширили поле деятельности на Саудовскую Аравию, США, Иордан и Германию. В список интересов группировки входят госструктуры, научные учреждения, оборонные компании и подрядчики, муниципальные власти, IT-компании и сотрудники Организации Объединенных Наций.

Для инфицирования целевых устройств злоумышленники используют различные методы, в том числе целевую фишинговую рассылку, атаки класса watering hole (компрометация сайтов, посещаемых потенциальными жертвами), фальшивые учетные записи в соцсетях и взлом почтовых ящиков. Группировка комбинирует разные методы и атакует жертву до тех пор, пока не добьется поставленной цели.

В ряде случаев хакеры инфицировали компьютеры жертвы вредоносным ПО через вредоносные документы, эксплуатирующие различные уязвимости, в том числе CVE-2017-0199 в пакете MS Office. Арсенал группировки включает как собственные хакерские инструменты (бэкдор TDTESS, троян для удаленного доступа Matryoshka v1, инструмент Vminst и пр.), так и доступные инструменты, в частности фреймворки Cobalt Strike и Metasploit, а также инструмент Mimikatz.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться