Російські хакери атакують німецькі компанії легітимними інструментами

Російські хакери атакують німецькі компанії легітимними інструментами

  Знову звучать звинувачення в бік російських хакерів. На цей раз стверджується, що кіберзлочинне угруповання TA505 атакує німецькі компанії, використовуючи при цьому легітимні інструменти. 

  Про нові операціях TA505, також відомої під ім'ям Evil Corp, повідомила компанія Prevailion. Гурт відомий використанням великого набору шкідливих програм: троян Dridex Trojan, шифрувальник Locky, Cobalt Strike, DoppelPaymer і багато інших. Крім цього, угруповання, нібито спонсороване російською владою, асоціювали з операціями ботнету Necurs, діяльність якого Microsoft припинила близько десяти днів тому. 

   Тепер дослідники Prevailion представили результати свого моніторингу діяльності угруповання Evil Corp. За словами експертів, злочинці атакують німецькі компанії, направляючи їм фейкові електронні листи, що містять заяви про прийом на роботу. Імовірно, ця кампанія стартувала в червні 2019 року. До електронних листів зловмисники прикріплювали вкладення, само собою, шкідливі. У разі запуску шкідливий код перехоплював облікові дані жертви і інформацію її банківських карт. У цих атаках злочинці вдаються до допомоги комерційного інструменту для адміністраторів — NetSupport, який розміщений в акаунті Google Drive. Використання абсолютно легітимного інструменту дозволяє зловмисникам уникати виявлення традиційними засобами захисту. В результаті оператори можуть викрадати файли жертви, знімати скріншоти і навіть записувати аудіо через вбудований мікрофон. Якщо шкідливий код потрапить на комп'ютер співробітника німецької компанії, насамперед оператори знімуть цифровий відбиток пристрою: встановлені програми, ім'я комп'ютера і домен. Після цього йде спроба викрасти збережені в браузерах облікові дані, файли cookies та платіжну інформацію. Всі вкрадені дані упаковуються в архів і відправляються на командний сервер (C & C). Заключним етапом спеціально створений BAT-файл знищує всі сліди вторгнення кіберзлочинців.

17:42
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|