Обнаружена APT-атака на компьютеры в бывшем СССР

Оцените материал
Рейтинг: 0 из 5 - (0 голосов)
Обнаружена APT-атака на компьютеры в бывшем СССР

Исследователями Trend Micro обнаружена еще одна крупномасштабная серия целевых атак, приведшая к взлому около 1 500 ПК в 61 стране.

Атака "Lurid" отличается от аналогичных операций (Aurora, Night Dragon), тем, что осуществляет вредоносную деятельность преимущественно в таких странах, как Россия, Казахстан и Украина, а также в других странах, входящих в СССР.

Как рассказал Рик Фергюсон, директор по безопасности, компанией Trend Micro идентифицировано 47 жертв с 1 465 взломанными ПК, включая дипломатические представительства, а также министерства и правительственные учреждения.

Как он отметил в исследовании, данная специфическая кампания содержала примерно 300 вредоносных целевых атак, которыми управляли взломщики, использовавшие уникальный и встроенный во вредоносные программы идентификатор.

Взломщиками использовалась сеть управления [C&C], состоящая из 15 доменных имён и 10 IP-адресов для поддержания постоянного контроля над 1 465 жертвами.

Как объяснил Фергюсон, загрузчик Lurid является частью Enfal, который в прошлом использовали для атаки правительства США, а также неправительственных организаций.

Атака Lurid работает в стиле APT (полное название - advanced persistent threats). Она применяет различные эксплойты для программы Adobe Reader и архивы RAR, которые содержат вредоносные скринсейверы для внедрения вредоносных программ, связывающих пораженную ОС с сетью командных серверов.

Как сообщил Фергюсон, взломщики не всегда используют zero-day эксплойты, а довольно часто применяют более старые и надёжные эксплойты, а также сохраняют эксплойты нулевого дня для достижения более сложных целей. В этой кампании не обнаружены эксплойты нулевого дня, но найдены несколько ссылок на применение подобных таких эксплойтов.

Фергюсон также разъяснил, что Lurid может поддерживать живучесть на инфицированных ОС устанавливаясь как сервис для Windows, или копируя себя в системную папку и заменяя обычную папку запуска на специальную, которая создана ею.

Хакерами использовались вредоносные программы для копирования данных на свои сервера, а также передачи команд на инфицированные ПК.

Как отметил Фергюсон, данные команды дают возможность хакерам не только посылать и получать файлы, но и активировать удалённую оболочку на взломанных ОС. На сегодняшний день происхождение взломщиков остаётся тайной.

Система Orphus

Комментарии

Подписаться:
  • Комментарии не найдены

Оставить комментарий от имени гостя

Вложения

0