Изображение: recraft
Группа Sandworm, специализирующаяся на кибершпионаже, предположительно атакует пользователей Windows на Украине, распространяя вредоносные версии активаторов службы управления ключами Microsoft (KMS) и поддельные обновления системы.
По данным специалистов EclecticIQ, такие атаки могли начаться в конце 2023 года. Эксперты связывают их с деятельностью группировки Sandworm, обращая внимание на схожесть используемой инфраструктуры, одинаковые методы и подходы, а также повторяющееся применение учетных записей ProtonMail при регистрации доменов для атак.
В числе применяемых инструментов злоумышленников оказался загрузчик BACKORDER, с помощью которого распространяется вредоносное ПО DarkCrystal RAT (DcRAT). Это программное обеспечение уже использовалось в предыдущих атаках, приписываемых Sandworm. Кроме того, отладочные символы указывали на русскоязычную среду разработки, что, по мнению исследователей, усиливает подозрения в причастности данной группы.
Аналитики EclecticIQ зафиксировали семь различных кампаний, объединённых схожими методами и приманками для жертв. Одна из последних атак, зарегистрированная 12 января 2025 года, предположительно предполагала распространение трояна DcRAT с целью кражи данных, при этом злоумышленники использовали домен, зарегистрированный через технику типо-сквоттинга.
На инфицированном устройстве поддельный KMS-активатор демонстрирует фальшивый интерфейс активации Windows, загружает вредоносный код и отключает Защитник Windows, после чего на компьютер жертвы устанавливается троян удалённого доступа.
Основная цель подобных атак – сбор конфиденциальных данных с заражённых устройств и передача их на серверы, контролируемые хакерами. Вредоносное ПО фиксирует нажатия клавиш, извлекает файлы cookie и историю браузера, копирует сохранённые пароли, данные FTP-доступа, системную информацию и делает снимки экрана.
По мнению специалистов EclecticIQ, распространение вредоносных активаторов Windows может объясняться высокой популярностью пиратского программного обеспечения на Украине. Нелицензионный софт активно применяется как частными пользователями, так и представителями государственного сектора, что создаёт значительные уязвимости.
Эксперты компании отмечают, что использование пиратских программ из ненадёжных источников облегчает киберпреступникам доступ к системам.
«Это создаёт благоприятные условия для шпионажа, кражи данных и компрометации сетей, что представляет прямую угрозу национальной безопасности Украины, важным инфраструктурным объектам и стабильности бизнеса», – заявили в EclecticIQ.
Оригинал публикации на сайте CISOCLUB: "Русских хакеров обвинили в использовании вредоносных активаторов Windows на территории Украины".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.