198 кибератак за месяц: Smokeloader охотится за бухгалтерами и госслужащими

Программа-вымогатель Smokeloader продолжает оставаться одним из основных инструментов для проведения финансовых атак в Украине. Об этом говорится в совместном отчете Государственной службы спецсвязи и защиты информации (SSSCIP) и ИБ-компании Palo Alto Networks.

С мая по ноябрь 2023 года исследователи выявили 23 кампании с использованием Smokeloader, направленные против различных целей, включая финансовые учреждения и госорганизации. Наибольшую активность хакеры проявили в августе и октябре, запустив 198 и 174 фишинговых атаки соответственно.

Агентство CERT-UA, отслеживает действия группы, стоящей за Smokeloader, под кодовым названием UAC-0006. Группировка использует вредоносное ПО для загрузки других вирусов с целью кражи средств у целевых предприятий. По данным CERT-UA, группировка пыталась украсть десятки миллионов гривен с августа по сентябрь 2023 года.

Основным методом распространения вредоносного ПО стали фишинговые кампании, часто с использованием ранее скомпрометированных электронных адресов, что позволяло злоумышленникам использовать доверенные корпоративные email-адреса для повышения шансов обмануть цель. В некоторых случаях темы писем и названия файлов содержали орфографические ошибки или были составлены из смеси украинских и русских слов.

В последней кампании в октябре хакеры использовали Smokeloader для атак на государственные, частные и финансовые учреждения, особое внимание уделяя бухгалтерским отделам. Вредоносное ПО маскировалось под кажущихся безвредными финансовые документы, большинство из которых были легитимны и были украдены у организаций, которые ранее были скомпрометированы.

Smokeloader использует различные стратегии для обхода мер безопасности и незаметного проникновения в систему. После получения доступа к системе вирус способен извлекать критически важную информацию об устройстве, включая данные операционной системы и местоположение.

Хотя в Украине отмечен рост атак с использованием Smokeloader, в отчете Palo Alto Networks говорится, что вредоносное ПО несет глобальный характер и продолжает фигурировать в многочисленных кампаниях, нацеленных на другие страны.