В ходе масштабной фишинговой кампании использовались три новых вредоноса

В ходе масштабной фишинговой кампании использовались три новых вредоноса

Группировка UNC2529 атаковала фишинговыми письмами около 50 организаций по всему миру.

image

Преступники организовали масштабную фишинговую кампанию против организаций из самых разных отраслей в странах по всему миру с использованием новых видов вредоносных программ. По словам специалистов из компании Mandiant, атаки затронули не менее 50 организаций и проходили в два этапа — 2 декабря и с 11 по 18 декабря прошлого года.

Группировка UNC2529, стоящая за этой кампанией, с помощью специальных фишинговых приманок заражала компьютеры жертв тремя новыми вредоносными программами.

«Злоумышленники использовали методы обфускации и бесфайловые вредоносные программы, чтобы усложнить обнаружение и создать хорошо закодированный и расширяемый бэкдор», — пояснили эксперты.

В ходе атак группировка использовала фишинговые электронные письма со ссылками на JavaScript-загрузчик (получивший название DOUBLEDRAG) или документ Microsoft Excel со встроенным макросом, который устанавливал загрузчик на основе PowerShell (DOUBLEDROP) с C&C-сервера злоумышленников. После запуска DOUBLEDRAG обращается к C&C-серверу и устанавливает загрузчик в память системы. DOUBLEDROP реализован в виде PowerShell-скрипта, который содержит как 32-битные, так и 64-битные экземпляры бэкдора DOUBLEBACK. Загрузчик выполняет начальную настройку и обеспечивает персистентность бэкдора на скомпрометированной системе.

Бэкдор внедряется в PowerShell-процесс загрузчика и позже попытается внедрить себя во вновь созданный процесс установщика Windows (msiexec.exe), если антивирусное ядро ​​Bitdefender не запущено на скомпрометированном компьютере. На следующем этапе бэкдор DOUBLEBACK загружает плагин и обращается к C&C-серверу в ожидании команд.

«Интересный факт об инфраструктуре вредоноса заключается в том, что в файловой системе существует только загрузчик. Остальные компоненты сериализованы в базе данных реестра, что несколько затрудняет их обнаружение, особенно файловыми антивирусными механизмами», — отметили эксперты.

UNC2529 в рамках фишинговой кампании задействовала примерно 50 доменов. Письма отправлялись якобы от имени руководителей компаний и были нацелены на медицинскую промышленность, производителей высокотехнологичной электроники, автомобилей и военного оборудования, а также на оборонного подрядчика. Хотя основной целью киберпреступников были компании в США, атаке также подверглись организации из EMEA (Европа, Ближний Восток и Африка), Азии и Австралии.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.