Ливанская киберпреступная группировка атакует предприятия соседних государств

image

Теги: Ливан, хакеры, APT-кампания

Хакеры используют собственное вредоносное ПО для слежения и перехвата данных.

В Ливане появилась киберпреступная группировка, специализирующаяся на APT-атаках. Как сообщается в отчете компании Check Point Software Systems, злоумышленники осуществляют таргетированные нападения на компании и учреждения, расположенные в странах Ближнего Востока. Хакеры используют специальное вредоносное ПО, похищающее конфиденциальные данные и скрывающееся от большинства антивирусов.

Группировка получила название Volatile Cedar. По данным Check Point, она начала вредоносную активность в 2012 году и может быть связана с правительством или определенной политической партией Ливана.

«Мы впервые наблюдаем за достаточно серьезной киберпреступной группировкой в Ливане, - сообщил менеджер по исследованию уязвимостей компании Шахар Тал (Shahar Tal). – Неудивительно, что кто-то из правительства или нынешней политической элиты прибегнул к кибератакам».

По словам Тала, большинство жертв новой группировки располагаются в Израиле, Турции и прочих ближневосточных государствах. В их число входят оборонные предприятия, телекоммуникационные и IT-компании, СМИ и образовательные учреждения.

Ливанские киберпреступники используют вредоносное ПО Explosive. Оно представляет собой троян удаленного доступа, способный похищать данные жертв и скрывать свое присутствие в системе от пользователей и антивирусов. Массовое распространение вредоноса еще не осуществлялось, в связи с чем большинство защитных программ его не распознают. В случае, если все же произошло обнаружение, разработчики оперативно выпускают новую версию вредоносного ПО.

С момента первого появления Explosive в ноябре 2012 года было разработано 5 его улучшений. К примеру, ближе к третьей версии вредонос стал шифровать сетевой трафик, следить за буфером обмена и поддерживать больше возможностей для слежения за пользователем. Иногда троян работал «в паре» с другим вредоносным ПО.

Чаще всего Explosive распространялся через публично доступные скомпрометированные серверы под управлением Windows Server. Чуть реже использовалась классическая связка «социальная инженерия + целенаправленный фишинг».

С отчетом Check Point Software Systems можно ознакомиться здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.