Эксперты «Лаборатории Касперского» в конце 2022 года выявили атаку на правительственные, сельскохозяйственные и транспортные организации, расположенные в регионах Донецка, Луганска и Крыма. Об этом сообщили в пресс-службе компании.
Кампания кибершпионажа длится как минимум с сентября 2021 года. В ней используется ранее неизвестное специалистам по кибербезопасности вредоносное программное обеспечение (ПО) - сложный модульный фреймворк, который эксперты «Лаборатории Касперского» назвали CommonMagic. Он устанавливается после заражения устройства PowerShell-бэкдором.
Как происходит заражение. Предположительно атака начинается с рассылки целевых фишинговых писем по электронной почте якобы от государственной организации. Жертва скачивает с вредоносного веб-сервера ZIP-архив, в котором содержатся два файла. Первый - безвредный документ-приманка (в формате PDF, XLSX или DOCX), второй - вредоносный LNK-файл с двойным расширением (например, .pdf.lnk).
Если скачать архив и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Он получает команды из удалённой папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако. PowerMagic внедряется в систему и остаётся в ней даже после перезагрузки заражённого устройства.
Эксперты полагают, что PowerMagic используется также для развёртывания вредоносной платформы CommonMagic, которая состоит из нескольких модулей. Каждый из них представляет собой исполняемый файл, который обменивается данными с другими модулями. Программное обеспечение может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.
На момент публикации эксперты не выявили прямой связи кода и данных с какими-либо известными ранее кампаниями. Однако данная угроза до сих пор активна, и исследование продолжается.
- Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых. Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники - они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше, - комментирует эксперт по кибербезопасности в «Лаборатории Касперского» Леонид Безвершенко.
Также в «Лаборатории Касперского» дали советы специалистам по защите от этой киберугрозы. Один из них касается обучения сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.
Автор: Анатолий ВАСИЛЬЕВ