 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Эксперты обнаружили серию продвинутых атак, направленных на финансовых служащих и сотрудников посольств.
Эксперты Check Point обнаружили серию атак, направленных на государственных служащих сразу нескольких стран. Злоумышленники использовали вредоносные документы Excel и скомпрометированную версию TeamViewer, чтобы обеспечить себе полный доступ к компьютерам жертв.
Под удар попали сотрудники финансовых ведомств и посольств Бермудских островов, Гайаны, Кении, Италии, Либерии, Ливана и Непала. Специалисты затрудняются определить цели организаторов кампании. Пока в качестве основной версии эксперты называют хищение денежных средств. В ее пользу говорит тот факт, что все жертвы были тщательно отобраны и так или иначе имели отношение к финансовым операциям своих организаций.
Заражение происходило через вредоносный XLSM-документ, замаскированный под секретные материалы Государственного департамента США. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней.
Этот сценарий обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу. Их функции позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой. Эксперты обнаружили в ее коде изменения, которые скрывают программу от жертвы и позволяют исполнять полученные извне файлы EXE и DLL.
По неизвестным причинам на момент обнаружения атак хранилище скриншотов было доступно для просмотра. Это позволило аналитикам определить часть жертв кампании и предположить, что злоумышленники атаковали сотрудников финансовых отделов. Позже злоумышленники закрыли эту директорию.
Специалисты отследили развитие данной кампании до 2018 года, отметив при этом, что атаки могли начаться и раньше. За прошедшее время злоумышленники несколько раз меняли свою технику — например, в первых инцидентах вместо документов MS Office они использовали самораспаковывающиеся архивы. Сама вредоносная DLL-библиотека также прошла заметную эволюцию: актуальный вариант с поддержкой скриптов AutoHotKey появился только в 2019 году, а до этого преступники отправляли команды программе вручную.
Аналитики также нашли следы одного из организаторов кампании на подпольных хакерских сайтах. На этих ресурсах он обсуждал технологии, которые позже нашли применение в нынешних атаках. Некоторые куски кода из этих постов полностью совпадают с описанными выше скриптами. Эксперты также обнаружили учетную запись этого пользователя на форуме похитителей платежных данных. Это также свидетельствует о том, что целью нынешней кампании была именно кража денежных средств.
Это не первый случай применения TeamViewer киберпреступниками. В 2018 году эксперты «Лаборатории Касперского» рассказали о продвинутых атаках на российскую промышленность, от которых пострадали сотни предприятий. Организаторы той кампании использовали тщательно подготовленные фишинговые письма, чтобы заставить жертв установить ПО для удаленного доступа.
 |
нравится | не нравится |  |
Рейтинг: | 2 |
Всего голосов: 2 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
