Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый бэкдор Vasilek и методы «Киберпартизан»: угроза России и Беларуси

3 мин
Киберпартизанская группировка «Киберпартизаны», известная своими целенаправленными атаками на правительственные и промышленные объекты в России и Беларуси, снова проявила активность. По результатам недавнего расследования специалистов Kaspersky ICS CERT, выявлено внедрение нового сложного бэкдора, получившего название Vasilek. Его уникальный способ коммуникации и высокая степень скрытности расширяют возможности злоумышленников и увеличивают риск для критически важных инфраструктур. В отличие от классических серверов команд и контроля (C&C), Vasilek использует неочевидный канал связи — специальную группу в Telegram. Это позволяет нападающим отправлять команды и получать данные, оставаясь вне поля зрения традиционных систем мониторинга. Методы заражения отличаются многообразием и маскировкой под легитимные приложения. В частности, злоумышленники использовали фишинговые email, в которых предлагалась установка FortiClient VPN. Вместо обычной программы в систему внедрялась утилита DNSCat2,
Оглавление
Источник: ics-cert.kaspersky.com
Источник: ics-cert.kaspersky.com

Киберпартизанская группировка «Киберпартизаны», известная своими целенаправленными атаками на правительственные и промышленные объекты в России и Беларуси, снова проявила активность. По результатам недавнего расследования специалистов Kaspersky ICS CERT, выявлено внедрение нового сложного бэкдора, получившего название Vasilek. Его уникальный способ коммуникации и высокая степень скрытности расширяют возможности злоумышленников и увеличивают риск для критически важных инфраструктур.

Особенности вредоносного кода Vasilek

В отличие от классических серверов команд и контроля (C&C), Vasilek использует неочевидный канал связи — специальную группу в Telegram. Это позволяет нападающим отправлять команды и получать данные, оставаясь вне поля зрения традиционных систем мониторинга.

Методы заражения отличаются многообразием и маскировкой под легитимные приложения. В частности, злоумышленники использовали фишинговые email, в которых предлагалась установка FortiClient VPN. Вместо обычной программы в систему внедрялась утилита DNSCat2, предоставляющая удалённое управление через DNS-протокол, что позволяет обходить средства сетевой безопасности.

  • Обфускация и скрытность. DNSCat2 обменивается данными через протокол DNS, позволяя обходить сегментацию сети и межсетевые экраны.
  • Горизонтальное перемещение. Вредоносный компонент распаковывается в системный каталог; ключ дешифрования извлекается из имени хоста жертвы.
  • Зашифрованная полезная нагрузка. Обфускатор гарантирует, что вредоносный код находится в зашифрованном виде до момента исполнения.

Использование вредоносного ПО Pryanik и эксплойтов

Кроме Vasilek, исследователи обнаружили применение вредоносной программы Pryanik, представляющей собой логическую бомбу с замедленной активацией. Она запускается в заранее заданное время, что позволяет злоумышленникам провести разрушительные действия в системе жертвы с максимальным эффектом.

Для повышения прав и обхода защитных механизмов Pryanik эксплуатирует уязвимость в драйвере Zemana (CVE-2021-31728). Использование этой уязвимости дает возможности:

  • эскалации привилегий;
  • завершения процессов безопасности;
  • удаления журналов событий;
  • запуска процедур перезаписи данных.

Технологии для обеспечения скрытности и устойчивости атаки

Чтобы максимально сохранить право доступа и маскировать активность, злоумышленники применяют распространенные инструменты:

  • Для сбора учетных данных — Mimikatz.
  • Для избегания обнаружения — выполнение payload в памяти без записи на диск.
  • Использование средств удаленного управления и прокси-серверов, таких как GOST и 3proxy, для туннелирования и маскировки сетевого трафика.

Особенно сложной является операционная система Vasilek, которая перед активацией тщательно проверяет имя хоста на наличие хэшей и запускается исключительно в условиях, соответствующих параметрам целевой жертвы. Это позволяет избежать активации в условиях анализа вредоносного ПО и снизить вероятность автоматического выявления.

Выводы и перспективы угрозы

Данные расследования подчеркивают развитие тактик группы «Киберпартизаны» — переход к более изощренным и устойчивым методам воздействия на инфраструктуру. Использование целого комплекса вредоносных инструментов и методов заражения говорит о серьезной угрозе для политически значимых объектов и промышленных предприятий.

Эксперты Kaspersky ICS CERT отмечают, что:

«Наблюдается чёткая тенденция к увеличению технологической сложности и адаптивности вредоносных операций, что требует постоянного совершенствования систем обнаружения и реагирования на инциденты.»

Учитывая активизацию подобных кибератак, организациям важно поддерживать актуальные меры защиты, проводить мониторинг подозрительной активности и своевременно реагировать на инциденты, чтобы минимизировать потенциальный ущерб.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новый бэкдор Vasilek и методы «Киберпартизан»: угроза России и Беларуси".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.