Исследователи безопасности из Cisco Talos утверждают, что хакеры нацелены на украинские организации с использованием неизвестного ранее вредоносного ПО для кражи данных в ходе новой кибершпионской кампании, которая всё ещё активна, сообщает издание Bleeping Computer.
Эксперты Cisco Talos связывают эту хакерскую активность с группировкой Gamaredon, также известной как Primitive Bear, Shuckworm, IronTiden и Callisto. Уточняется, что киберпреступники применяют социальную инженерию и целевой фишинг для установления долгосрочного доступа к системам жертв.
Компания Cisco Talos приписала группировке Gamaredon недавно выявленную кибершпионскую кампанию и обнаружила в её рамках использование нового вредоносного ПО для кражи информации, которое может извлекать из компьютеров жертв конкретные типы файлов, а также развертывать дополнительные вредоносные программы.
«Это новый инфостилер, который Gamaredon ранее не использовал в других кампаниях. Мы подозреваем, что это может быть компонент семейства бэкдоров Gamaredon «Giddome», но в настоящее время мы не можем подтвердить это», — уточнили в Cisco Talos.
Новое вредоносное ПО имеет чёткие инструкции по краже файлов со следующими расширениями: .DOC, .DOCX, .XLS, .RTF, .ODT, .TXT, .JPG, .JPEG, .PDF, .PS1, .RAR, .ZIP, .7Z И .MDB.
Доставка инфостилера со стороны Gamaredon осуществляется с помощью сценария PowerShell, похожего на сценарий, описанный в недавнем предупреждении от Команды реагирования на компьютерные чрезвычайные события Украины о кибервторжениях Gamaredon в первой половине 2022 года.
В Cisco Talos отмечают, что новый инфостилер от Gamaredon может эксфильтровать файлы с подключенных устройств хранения (локальных и удаленных), создавая для каждого украденного файла POST-запрос с метаданными и его содержимым. При этом в ходе рекурсивного перебора всех файлов в каталогах вредоносное ПО избегает системных папок, фокусируясь только на файлах, представляющих интерес для злоумышленника.
Исследователи Cisco Talos заметили, что инфостилер также может загружать дополнительные файлы с сервера управления и контроля (C2), который предоставляет инструкции о том, как следует обрабатывать доставленные данные.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.