Хакеры Fancy Bear используют новый вредонос SkinnyBoy в фишинговых атаках

Хакеры Fancy Bear используют новый вредонос SkinnyBoy в фишинговых атаках

Преступники использовали SkinnyBoy для осуществления атак на военные и правительственные учреждения в странах ЕС.

Исследователи в области кибербезопасности из компании Cluster25 обнаружили новое вредоносное ПО под названием SkinnyBoy, которое использовалось в целенаправленных фишинговых атаках. Вредоносную кампанию связывают с русскоязычной хакерской группировкой APT28 (также известной как Fancy Bear, Sednit, Sofacy, Strontium или PwnStorm).

Преступники использовали SkinnyBoy для осуществления атак на военные и правительственные учреждения в начале нынешнего года. SkinnyBoy разработан для промежуточного этапа атаки, сбора информации о жертве и получения полезной нагрузки с C&C-сервера.

По данным специалистов, APT28 организовала кампанию в начале марта, сосредоточив внимание на министерствах иностранных дел, посольствах и предприятиях в сфере оборонной промышленности и военном секторе. Многочисленные жертвы находятся в странах ЕС, однако вредоносная деятельность предположительно могла затронуть и организации в США.

Хакеры распространяют электронные письма с зараженным документом Microsoft Word. Документ содержит макрос для извлечения DLL-файла и загрузки вредоносного ПО SkinnyBoy. Письма замаскированы под приглашения на международное научное мероприятие, которое состоится в Испании в конце июля.

Попав в систему жертвы, загрузчик обеспечивает персистентность на системе и переходит к извлечению следующей полезной нагрузки, зашифрованной в Base64. Полезная нагрузка удаляется после извлечения двух файлов в скомпрометированной системе:

Цель SkinnyBoy — похитить информацию о зараженной системе, загрузить и запустить последнюю полезную нагрузку атаки, которая на данный момент остается неизвестной. Хищение данных осуществляется с помощью уже имеющихся в Windows инструментов systeminfo.exe и tasklist.exe, которые позволяют извлекать имена файлов в определенных местах.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!