В марте этого года «Лаборатория Касперского» сообщила о кибератаках на компании в Донецке, Луганске и Крыму. К середине мая специалисты по информационной безопасности выявили еще более сложную вредоносную активность той же хакерской группировки.
На данный момент целями киберпреступников являются не только организации Крыма, Луганска и Донецка, но и отдельные личности, дипломатические представительства и научно-исследовательские организации как Западной, так и Центральной Украины.
Кибератаки, о которых говорилось в марте этого года, совершались с применением фреймворка CommonMagic. А новая выявленная волна атак — с применением модульного фреймворка CloudWizard. Помимо этого, специалисты «Лаборатории Касперского» нашли информацию, которая позволяет предположить, что та же самая киберпреступная группировка стоит за зловредными кампаниями Operation BugDrop и Operation GroundBait.
Кибершпионская кампания, о которой заявлялось в начале весны этого года, продолжается как минимум с осени 2021 года. При реализации кибератак применяется ранее неизвестный экспертам по информационной безопасности вредоносный софт, сложный модульный фреймворк, который в компании Kaspersky назвали CommonMagic. Его установка происходит после заражения целевого устройства PowerShel-бэкдором.
В марте этого года специалистам «Лаборатории Касперского» многое было непонятно по этой киберпреступной активности, из-за чего было продолжено расследование, и фокус был сделан на киберпреступных кампаниях прошлых лет. В мае была выявлена кампания, которая применяет модульный фреймворк CloudWizard. Специалисты «Лаборатории Касперского» зарегистрировали несколько подобных модулей, каждый из которых несет ответственность за разные вредоносные действия: сбор файлов, данных, скриншотов, кражу учетных данных, перехват регистрации нажатия клавиш на клавиатуре, записи аудио с микрофона и так далее.
Кроме того, один из модулей занимается извлечением Cookie-файлов учетных записей Gmail, после чего может получать доступ к журналам активности, списку контактов и электронным письмам жертвы.
Специалисты «Лаборатории Касперского» провели анализ фреймворка CloudWizard и обнаружили существенные сходства между ним и двумя киберпреступными кампаниями 2015-2016 годов: Operation BugDrop и Operation GroundBait.
В них применяется аналогичный код и формат названия файлов. Кроме того, во всех выявленных случаях для размещения использовались хостинги украинских провайдеров, и совпадал перечень целей в восточной, западной и центральной частях Украины. Помимо этого, фреймворк CloudWizard имеет сходство с вредоносной кампанией CommonMagic. Отмечается, что части кода идентичны, применяется та же самая библиотека шифрования, аналогичный формат и названия файлов. Кроме того, оба фреймворка применяются для кибератаках в одних и тех же регионах.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
