Для хакерской кампании EastWind используют популярные сервисы GitHub, Dropbox и Quora, а также российские «Живой Журнал» и «Яндекс Диск».
Специалисты по кибербезопасности из «Лаборатории Касперского» сообщают о новой серии целевых кибератак на десятки компьютеров российских государственных организаций и IT-компаний. В этой хакерской кампании, получившей название East Wind, засветилось вредоносное ПО от двух различных китаеязычных крупных группировок: APT27 и APT31.
В конце июля 2024 года мы выявили активную серию целевых кибератак на десятки компьютеров российских государственных организаций и IT-компаний. В ходе этих атак злоумышленники заражали устройства при помощи фишинговых писем с вложениями, содержащими вредоносные файлы ярлыков. При нажатии на ярлыки происходила установка вредоносного ПО, которое в дальнейшем получало команды через облачное хранилище Dropbox. С помощью этого ПО злоумышленники загружали на заражённые компьютеры дополнительных троянцев, в частности инструменты, используемые кибергруппировкой APT31, а также обновлённый бэкдор [вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником поражённым компьютером, — прим.ред.] CloudSorcerer. [...] В атаках используется ранее неизвестный имплант c функциональностью классического бэкдора, который мы назвали PlugY. Он загружается через бэкдор CloudSorcerer, обладает обширным набором команд и поддерживает три различных протокола общения с командным центром. Кроме того, его код схож с кодом бэкдора DRBControl (также известен как Clambling), который несколько ИБ-компаний приписывают группировке APT27.
— Пресс-служба «Лаборатории Касперского»
Чтобы замаскировать вредоносный трафик, хакеры используют в качестве командных серверов популярные сетевые сервисы — GitHub, Dropbox, Quora, а также российские «Живой Журнал» и «Яндекс Диск».
Выявить их непросто: каждый из элементов-троянцев требует отдельный набор индикаторов компрометации. В частности:
- чтобы выявить работу бэкдора, распространяемого через электронную почту и использующего Dropbox для взаимодействия со злоумышленниками, можно провести поиск сравнительно больших по размеру (более 5 МБ) DLL-файлов, расположенных внутри директории C:\Users\Public. О работе этого бэкдора может также свидетельствовать регулярное обращение к облаку Dropbox в сетевом трафике;
- троянец GrewApacha группировки APT31 может быть обнаружен поиском неподписанного файла с именем msedgeupdate.dll на файловой системе. Размер этого файла также составляет несколько мегабайт;
- имплант PlugY, доставляемый при помощи бэкдора CloudSorcerer, в ходе своей работы запускает процесс с именем msiexec.exe для каждого вошедшего в систему пользователя, а также создаёт именованные каналы с шаблоном имени \.\PIPE\Y<число> . Присутствие этих двух индикаторов на системе с высокой степенью уверенности свидетельствует о заражении.
В целом же специалисты по кибербезопасности советуют использовать для своих компаний и структур защитные решения из официальных источников, регулярно обновлять их, а так же обучать базовой кибербезопасности сотрудников, чтобы они игнорировали фишинговые письма, подозрительные ссылки и файлы.
Читать материалы по теме:
Украдёт ваши контакты, тексты и нюдсы из переписок: в России найден новый кибершпион LianSpy
Российская Fplus создала первый криптозамок для защищённого управления серверами
Не своим голосом: ЦБ предупредил россиян, что мошенники научились использовать дипфейки