- PVSM.RU - https://www.pvsm.ru -
В «Лаборатория Касперского» рассказали о своём очередном открытии. Эксперты выявили целевую атаку на организации и компании, расположенные в Донецке, Луганске и Крыму. Кампания кибершпионажа была зарегистрирована в конце 2022 года.
Атака нацелена на сельскохозяйственные и транспортные организации. Как отмечают в «Лаборатории», атака длится уже давно – как минимум с сентября 2021 года. Более того данная угроза до сих пор активна.
Что интересно, для атаки злоумышленники используют ранее неизвестное специалистам вредоносное ПО. Обнаруженный в «Лаборатории» сложный модульный фреймворк CommonMagic устанавливается после заражения устройства PowerShell-бэкдором.
Атака состоит из нескольких этапов. Сначала производится рассылка фишинговых электронных писем якобы от государственной организации. Затем жертва скачивает с вредоносного веб-сервера ZIP-архив с безвредным документом-приманкой PDF, XLSX или DOCX, дополненным вредоносным LNK-файл с двойным расширением, например, .pdf.lnk. Затем на устройство устанавливается бэкдор PowerMagic, который выполняет команды злоумышленников и загружает результаты в облако.
В «Лаборатории» отмечают, что PowerMagic используется для развёртывания вредоносной платформы CommonMagic, которая может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.
Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского» рассказал:
Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых. Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше.
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/news/383578
Ссылки в тексте:
[1] Image: https://www.pvsm.ru/img/n1/news/2023/2/2/ixbtmedia_cyber_espionage_5cedf0bf-b296-4d85-9578-1a68abbd9826_large.png
[2] Источник: https://www.ixbt.com/news/2023/03/21/laboratorija-kasperskogo-vyjavlena-aktivnaja-ataka-kibershpionazha-na-organizacii-kryma-dnr-i-lnr.html
Нажмите здесь для печати.