Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Cisco: хакеры применяют новое вредоносное ПО для кражи данных у украинских организаций

4
1 мин
Исследователи безопасности из Cisco Talos утверждают, что хакеры нацелены на украинские организации с использованием неизвестного ранее вредоносного ПО для кражи данных в ходе новой кибершпионской кампании, которая всё ещё активна, сообщает издание Bleeping Computer. Эксперты Cisco Talos связывают эту хакерскую активность с группировкой Gamaredon, также известной как Primitive Bear, Shuckworm, IronTiden и Callisto. Уточняется, что киберпреступники применяют социальную инженерию и целевой фишинг для установления долгосрочного доступа к системам жертв. Компания Cisco Talos приписала группировке Gamaredon недавно выявленную кибершпионскую кампанию и обнаружила в её рамках использование нового вредоносного ПО для кражи информации, которое может извлекать из компьютеров жертв конкретные типы файлов, а также развертывать дополнительные вредоносные программы. «Это новый инфостилер, который Gamaredon ранее не использовал в других кампаниях. Мы подозреваем, что это может быть компонент семейст

Исследователи безопасности из Cisco Talos утверждают, что хакеры нацелены на украинские организации с использованием неизвестного ранее вредоносного ПО для кражи данных в ходе новой кибершпионской кампании, которая всё ещё активна, сообщает издание Bleeping Computer.

Изображение: freestocks (unsplash)
Изображение: freestocks (unsplash)

Эксперты Cisco Talos связывают эту хакерскую активность с группировкой Gamaredon, также известной как Primitive Bear, Shuckworm, IronTiden и Callisto. Уточняется, что киберпреступники применяют социальную инженерию и целевой фишинг для установления долгосрочного доступа к системам жертв.

Компания Cisco Talos приписала группировке Gamaredon недавно выявленную кибершпионскую кампанию и обнаружила в её рамках использование нового вредоносного ПО для кражи информации, которое может извлекать из компьютеров жертв конкретные типы файлов, а также развертывать дополнительные вредоносные программы.

«Это новый инфостилер, который Gamaredon ранее не использовал в других кампаниях. Мы подозреваем, что это может быть компонент семейства бэкдоров Gamaredon «Giddome», но в настоящее время мы не можем подтвердить это», — уточнили в Cisco Talos.

Новое вредоносное ПО имеет чёткие инструкции по краже файлов со следующими расширениями: .DOC, .DOCX, .XLS, .RTF, .ODT, .TXT, .JPG, .JPEG, .PDF, .PS1, .RAR, .ZIP, .7Z И .MDB.

Доставка инфостилера со стороны Gamaredon осуществляется с помощью сценария PowerShell, похожего на сценарий, описанный в недавнем предупреждении от Команды реагирования на компьютерные чрезвычайные события Украины о кибервторжениях Gamaredon в первой половине 2022 года.

В Cisco Talos отмечают, что новый инфостилер от Gamaredon может эксфильтровать файлы с подключенных устройств хранения (локальных и удаленных), создавая для каждого украденного файла POST-запрос с метаданными и его содержимым. При этом в ходе рекурсивного перебора всех файлов в каталогах вредоносное ПО избегает системных папок, фокусируясь только на файлах, представляющих интерес для злоумышленника.

Исследователи Cisco Talos заметили, что инфостилер также может загружать дополнительные файлы с сервера управления и контроля (C2), который предоставляет инструкции о том, как следует обрабатывать доставленные данные.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.

Кибербезопасность
25,6 тыс интересуются