Кибератаки, которые начались в конце июля 2024 года, были направлены на десятки систем, используемых российскими правительственными организациями и ИТ-компаниями.
Согласно данным «Лаборатории Касперского», за данными атаками стоят китайские хакеры из группировок APT31 и APT27. Такие атаки получили кодовое название «EastWind». Они используют обновленную версию вредоносного ПО под названием «CloudSorcerer».
Ранее в мае 2024 года аналогичная программа также применялась в атаках на российские правительственные учреждения. Инфицированию предшествовали фишинговые письма с вложенными RAR-архивами, в которых скрывались вредоносные файлы.
Первоначально для заражения организаций злоумышленники использовали фишинговые рассылки. В письмах были вложены RAR-архивы, содержащие вирусные ярлыки, замаскированные под легитимные документы. При их открытии на компьютерах происходила установка троянской программы, связанной с облачным хранилищем Dropbox. После получения доступа к сетям организаций злоумышленники активировали вредоносное ПО, предназначенное для кибершпионажа, используя при этом обновлённую версию программы CloudSorcerer.
Трояны, которые были обнаружены в ходе кибератаки значительно отличаются друг от друга. Поэтому для обнаружения каждого из этих видов кибератак необходимо использовать свой набор индикаторов, указывающих на возможные нарушения безопасности.
Для выявления бэкдора, который распространяется через электронную почту и использует Dropbox для взаимодействия со злоумышленниками, проводится поиск больших (более 5 МБ) dll-файлов. Частое обращение к облаку Dropbox в сетевом трафике свидетельствует о наличие и работе этого бэкдора.
Троянец Grewapacha группировки APT31 может быть обнаружен поиском неподписанного файла с именем msedgeupdate.dll на файловой системе. Размер этого файла также составляет несколько МБ.
Имплант Plugy, доставляемый при помощи бэкдора Cloudsorcerer, в ходе своей работы запускает процесс с именем msiexec.exe для каждого вошедшего в ИТ-систему пользователя, а также создает именованные каналы с шаблоном имени.
Присутствие этих двух индикаторов в ИТ-системе с высокой степенью уверенности свидетельствует о заражении.
Этот случай подчеркивает сложность отношений между государствами, которые, несмотря на дипломатические и стратегические связи, продолжают активно заниматься кибершпионажем друг против друга. Впрочем, это было вполне предсказуемо.
Специалисты Mask Safe рекомендуют строить свою киберзащиту следующим образом:
- Внедрить защиту нового поколения – межсетевые экраны нового поколения NGFW
Защитить свою организацию можно и нужно уже сейчас, потому что тренд на увеличение количества атак на компании очевиден. Многодневные простои и многомиллиардные потери - вот цена недобросовестного отношения к построению системы информационной безопасности.
Если у вас возникли дополнительные вопросы или вы хотели бы узнать больше о наших услугах и продуктах, не стесняйтесь обращаться к нам. Мы всегда готовы помочь вам с выбором оптимальных решений для вашего бизнеса.
Будьте в курсе последних тенденций в области кибербезопасности и IT-технологий, следите за обновлениями на нашем сайте и подписывайтесь на наши новостные рассылки.
Больше о кибербезопасности на нашем сайте.
