Эксперты из подразделения Kaspersky ICS CERT опубликовали исследование, посвящённое анализу тактик и вредоносных инструментов, применяемых группой «Киберпартизаны». Эта хактивистская структура активно действует с 2020 года и регулярно заявляет об атаках на государственные и промышленные объекты в России и Беларуси. Цель атак — кража конфиденциальных данных и подрыв стабильности ИТ-инфраструктуры.
В числе выявленных инструментов особое внимание специалистов привлёк ранее неизвестный бэкдор, способный работать исключительно на целевых системах. В отличие от классических решений, этот вредоносный модуль не использует командные серверы, а выходит на связь через Telegram-группу, куда передаёт данные и получает команды.
Помимо бэкдора, исследователи обнаружили разрушительные компоненты — программы класса вайпер, предназначенные для уничтожения информации, а также вспомогательные утилиты, с помощью которых злоумышленники организуют туннелирование и проксирование трафика. Это, по мнению аналитиков, позволяет обходить сетевую сегментацию и механизмы обнаружения подозрительной активности.
Отдельно отмечена техника внедрения так называемых «бомб» — вредоносных элементов, заранее размещённых в целевой системе. Они активируются автоматически при наступлении заданных условий, например, в определённое время. По данным специалистов, эта тактика впервые была замечена в действиях группы в ноябре 2021 года.
Хотя в открытых источниках злоумышленники упоминали различные способы проникновения, от эксплуатации уязвимостей до внутренней помощи от инсайдеров, анализ показал, что на практике в ряде атак применялись классические фишинговые рассылки.
В одном из зафиксированных эпизодов письмо содержало инсталлятор, маскирующийся под установщик легитимного ПО — FortiClient VPN. При запуске он действительно устанавливал указанное приложение, но параллельно размещал в системе утилиту DNSCat2, которая предоставляла злоумышленникам канал удалённого управления.
Полная версия отчета представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Kaspersky ICS CERT: «Киберпартизаны» используют Telegram, вайперы и бомбы с отложенным запуском для атак на госучреждения и промышленные предприятия".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.