Компания по кибербезопасности Symantec опубликовала новый отчет, в котором обвинила «русских хакеров» группировки Gamaredon в проведении многочисленных кибератак против украинских пользователей, предприятий, госорганизаций, сообщает издание Bleeping Computer.
В исследовании Symantec говорится о том, что последний вектор заражения украинских сетей включает в себя фишинговые атаки. Уточняется, что «русские хакеры» из Gamaredon массово рассылают фишинговые email-сообщения, в которых прикреплён самораспаковывающийся 7-Zip архив, извлекающий XML-файл из поддомена xsph.ru (эксперты отмечают, что этот поддомен и связан с группировкой Gamaredon).
Файл XML приводит к выполнению программы PowerShell для кражи конфиденциальных файлов из атакованной системы. При этом в Symantec обнаружили сразу несколько «немного изменённых вариантов PowerShell», что было сделано, скорее всего, для избегания обнаружения.
Помимо этого, эксперты Symantec отмечают, что «русские хакеры» применяют против украинских целей загрузчики VBS для интеграции в атакованные системы бэкдора Pterodo, одного из основных инструментов хакерской группы Gamaredon. А в ряде случаев используется бэкдор Giddone.
Применение этих бэкдоров позволяет хакерам записывать звук с помощью микрофона хоста, делать скриншоты экрана с рабочего стола, регистрировать и отфильтровывать нажатия клавиш, а также загружать и выполнять дополнительные полезные нагрузки «.exe» и «.dll».
В Symantec также отмечают, что в недавних атаках хакеры из Gamaredon начали разворачивать законные системы удалённого доступа и администрирования рабочих столов Ammyy Admin и AnyDesk.
Ранее мы писали о результатах исследования Google TAG (Google’s Threat Analysis Group). Эксперты заявили о том, что «русские хакеры» из группировки Turla заражают вредоносным программным обеспечением устройства проукраинских активистов.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
