В список целей также включен ряд бывших государств СССР.
Исследователи, отслеживающие группу угроз Fancy Bear, выявили постоянные нападения на национальные государства, связанные с НАТО, посредством новой кампании.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
По мнению исследователей из Palo Alto Networks, последняя волна атак, названная движением «Дорогой Джон», также направлена против государств бывшего СССР.
В сообщении в блоге На этой неделе команда заявила, что Fancy Bear, также известная как Sofacy, APT28, STRONTIUM, Pawn Storm и Sednit, атакует группы с политическими связями, а также частные организации.
APT действует как минимум с 2014 года и был связан с кибератаками на США. Национальный комитет Демократической партии (DNC), Всемирное антидопинговое агентство (ВАДА), украинские военные и многие другие. Принято считать, что злоумышленников спонсирует российское правительство.
Fancy Bear также имеет недавно был подключен с Earworm, отдельной российской хакерской группой, из-за потенциального совместного использования инструментов и инфраструктуры.
В последнее время кампания получила новый импульс благодаря увеличению количества вооруженных документов под названием «Джун», которые используют инструменты «Зеброси» и «Пушка».
В октябре и ноябре этого года получателями документов Джона стали цели, расположенные на четырех континентах.
Девять образцов были собраны Пало-Альто у организаций, которые могли стать жертвами, включая ведомства иностранных дел и правительственные учреждения. В каждом случае предварительным вектором атаки был целевой фишинг с именами файлов, созданными с учетом текущих политических проблем, таких как Брексит, крушение самолета Lion Air и ракетные обстрелы в Израиле.
Получателям этих сообщений, отправленных с адресов электронной почты, похожих на адреса законных государственных органов, будет предложено загрузить вредоносные файлы Microsoft Word.
Эти документы затем извлекали вредоносный макрос и запрашивали у пользователя разрешение на включение макросов, чтобы заразить систему жертвы.
«Большинство документов о доставке содержат общее изображение приманки с просьбой к жертве включить макросы без какого-либо дополнительного контента. злоумышленники, по-видимому, полагаются исключительно на имена файлов-приманок, чтобы побудить жертв запустить вредоносный документ», — исследователи сказал.
Некоторые из этих изображений приманок будут включать печати НАТО EOD. Один из экземпляров, полученных фирмой, содержал инструкции на русском языке, что, по мнению команды, «может указывать на то, что предполагаемой целью было русскоязычное национальное государство».
Смотрите также: Бывшему генеральному директору Mt.Gox грозит 10 лет тюрьмы по делу о растрате
Если серверы управления и контроля (C2) Fancy Bear активны во время выполнения документа, макрос загружается через удаленный шаблон. Однако, если он неактивен, приглашение включить макросы никогда не появляется.
Имя автора Джона использовалось в большинстве полученных документов, а также в удаленных шаблонах. Также похоже, что C2 на основе IP, использованные в кампании «Дорогой Джон», отделены от другой инфраструктуры преступных схем, используемой Fancy Bear.
После выполнения документы доставляют троянцев Cannon и Zebrocy. Злоумышленники используют ряд вариантов Zebrocy, написанных на языках Delphi, C# и VB.NET.
Техреспублика: 15 навыков, которые вам нужны, чтобы стать белым хакером и зарабатывать до 145 тысяч долларов в год
Ранее исследователи знали только о варианте Delphi.
Троянец способен собирать системные данные и отправлять их на сервер C2 через HTTP POST-запросы, получая и выполняя взамен полезные нагрузки, такие как открытый комплект для тестирования на проникновение Koadic.
Первый известный образец Cannon был собран в апреле этого года. инструмент С# Считается, что он существует как минимум в семи различных вариантах и выполняет функции загрузчика, отправляя электронные письма на сервер C2 для получения дополнительных полезных данных.
Однако Cannon также оснащен средствами для сбора системной информации, создания снимков экрана рабочего стола и поддержания устойчивости с помощью различных механизмов.
«Мы полагаем, что нашли вариант Cannon, написанный на Delphi», — говорит Пало-Альто. «Мы видели, как компания Sofacy использовала несколько языков для создания вариантов трояна Zebrocy, так что кажется, что вполне возможно, что группа создаст дополнительные варианты Cannon на нескольких языках программирования по мере того, как хорошо."
vrenture.com/: Связанные с Ираном хакеры, как сообщается, атаковали активистов и чиновников США
«Группа явно отдает предпочтение использованию простого загрузчика, такого как Zebrocy, в качестве полезной нагрузки первого этапа в этих атаках», — добавили исследователи. «Группа продолжает разрабатывать новые варианты Zebrocy, добавляя версии VB.NET и C#, и похоже, что они также использовали различные варианты инструмента Cannon в прошлых кампаниях по атакам».
Еще в сентябре, Исследователи ESET выявили отдельная кампания Fancy Bear, в которой используется LoJack, что, возможно, было первым задокументированным случаем использования руткита UEFI в дикой природе.
Команда сообщила, что руткит был обнаружен в комплекте с законным набором инструментов для восстановления системы LoJack, который способен исправлять систему жертвы для установки вредоносного ПО на уровне прошивки.
Доступно: лучшие технологии, гаджеты стоимостью менее 100 долларов.
Предыдущее и связанное освещение
- Китай обвиняют в утечке данных Marriott
- Многие из самых опасных недостатков безопасности Android и iOS 2018 года по-прежнему угрожают вашей мобильной безопасности
- Вредоносное ПО для Android крадет деньги со счетов PayPal, пока пользователи беспомощно смотрят