Эксперты компании Positive Technologies заявили об обнаружении вредоносной активности хакерской группировки APT31 (предположительно китайской), которая использует «Яндекс.Диск» для проведения кибератак на российские информационные ресурсы и предприятия топливно-энергетического комплекса.
Ранее участники группировки APT31 для проведения подобных атак против российских целей использовали иностранные сервисы Dropbox и OneDrive. Факт использования отечественного «Яндекс.Диска», по словам специалистов Positive Technologies, был выявлен впервые.
Эксперты отмечают, что применение облачных систем хранения данных является для многих киберпреступников сейчас приоритетным решением при организации всевозможных атак, потому что в такие файловые хранилища можно с легкостью загружать вредоносное содержимое – компании, предоставляющие услуги облачного хранения, личные пользовательские файлы не будут идентифицировать. В связи с этим выявить саму вредоносную активность намного сложнее, потому что она выглядит как стандартный интернет-трафик.
Заражение целевых систем происходит следующим образом: пользователю на электронную почту приходит письмо с прикрепленным файлом, к примеру, «список.doc». Если потенциальная жертва решает открыть этот файл на своём устройстве, то автоматически начинается загрузка макроса (предварительно записанного киберпреступником специального алгоритма). После приведения макроса в действие происходит скачивание трёх файлов: исполняемого, вредоносной библиотеки, самого документа, выступающего в качестве отвлечения внимания пользователя.
Исполняемым файлом, как отмечают в Positive Technologies, выступает уязвимый компонент «Яндекс.Браузера». Причём хакеры не используют весь «Яндекс.Браузер» – у пользователя на устройстве может быть открыт любой другой браузер, но киберпреступники задействуют только один определенный файл. Затем вредоносное содержимое идёт на «Яндекс.Диск», забирая оттуда требуемые ему команды.
Проведенное компанией Positive Technologies исследование показало, что киберпреступники из группировки APT31 применяют сервис «Яндекс.Диск» в виде контрольного сервера. Они задействуют облачное хранилище во многом для того, чтобы вредоносный трафик был похож на легитимный.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.