- PVSM.RU - https://www.pvsm.ru -

«Лаборатория Касперского»: выявлена активная атака кибершпионажа на организации Крыма, ДНР и ЛНР

В «Лаборатория Касперского» рассказали о своём очередном открытии. Эксперты выявили целевую атаку на организации и компании, расположенные в Донецке, Луганске и Крыму. Кампания кибершпионажа была зарегистрирована в конце 2022 года. 

«Лаборатория Касперского»: выявлена активная атака кибершпионажа на организации Крыма, ДНР и ЛНР [1]
Сгенерировано нейросетью Midjourney

Атака нацелена на сельскохозяйственные и транспортные организации. Как отмечают в «Лаборатории», атака длится уже давно – как минимум с сентября 2021 года. Более того данная угроза до сих пор активна. 

Что интересно, для атаки злоумышленники используют ранее неизвестное специалистам вредоносное ПО. Обнаруженный в «Лаборатории» сложный модульный фреймворк CommonMagic устанавливается после заражения устройства PowerShell-бэкдором.
 
Атака состоит из нескольких этапов. Сначала производится рассылка фишинговых электронных писем  якобы от государственной организации. Затем жертва скачивает с вредоносного веб-сервера ZIP-архив с безвредным документом-приманкой PDF, XLSX или DOCX, дополненным вредоносным LNK-файл с двойным расширением, например, .pdf.lnk. Затем на устройство устанавливается бэкдор PowerMagic, который выполняет команды злоумышленников и загружает результаты в облако. 

В «Лаборатории» отмечают, что PowerMagic используется для развёртывания вредоносной платформы CommonMagic, которая может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.

Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского» рассказал:

Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых. Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше. 

Источник [2]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/news/383578

Ссылки в тексте:

[1] Image: https://www.pvsm.ru/img/n1/news/2023/2/2/ixbtmedia_cyber_espionage_5cedf0bf-b296-4d85-9578-1a68abbd9826_large.png

[2] Источник: https://www.ixbt.com/news/2023/03/21/laboratorija-kasperskogo-vyjavlena-aktivnaja-ataka-kibershpionazha-na-organizacii-kryma-dnr-i-lnr.html