В мае 2024 года специалисты «Лаборатории Касперского» обнаружили кибершпионскую кампанию, нацеленную на российские государственные учреждения. В ходе этой кампании, названной CloudSorcerer, хакеры пользовались сложным инструментом, обращающимся к облачным сервисам и площадке GitHub в качестве командно-контрольных серверов.
Специалисты по информационной безопасности «Лаборатории Касперского» заявляют, что методики хакеров в этом случае аналогичны кампании CloudWizard, выявленной экспертами ещё в 2023 году. Однако применяется совсем другой код вредоносного программного обеспечения.
Поэтому в «Лаборатории Касперского» убеждены, что за атаками CloudSorcerer стоит другая хакерская группировка, которая применяет похожий метод взаимодействия с публичными облачными службами. Вместе с этим код вредоносного программного обеспечения качественно написан и не имеет ошибок, а доступ к облачным сервисам, например к платформе Dropbox, хакеры получают через API, используя токены аутентификации.
Для организации кибератак хакерская группировка применяет многоступенчатую стратегию. На первом этапе киберпреступники вручную разворачивают вредоносный софт на скомпрометированном устройстве. После запуска происходит адаптация возможностей инструментов CloudSorcerer в зависимости от системных настроек.
Кроме того, в зависимости от полученного имени процесса вредонос начинает активировать различные функции, включая сбор, копирование и удаление данных, инициирование модуля связи с командным сервером, внедрение shell-кода.
Ведущий специалист «Лаборатории Касперского» по информационной безопасности Сергей Ложкин заявил, что в выявленной кибершпионской кампании CloudSorcerer хакеры изощрённо пользуются публичными облачными сервисами для шпионажа, скрываясь за их применением собственные действия. Это лишний раз доказывает, что защитные стратегии российских организаций должны включать инструменты, позволяющие распознавать и смягчать последствия подобных методов.
Оригинал публикации на сайте CISOCLUB: "«Лаборатория Касперского» выявила новые целевые хакерские атаки на российские госструктуры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
