- 9,336
- 18
- 8 Ноя 2022
От фишинга до кражи паролей: как проходили атаки на российские институты.
Российские учреждения из государственного и индустриального сектора стали жертвами массовой кибератаки, обнаруженной Для просмотра ссылки Войдиили Зарегистрируйся . Злоумышленники использовали фишинговые письма с вложенным вредоносным архивом, который запускал новый бэкдор на заражённых устройствах. Целью атаки была кража данных, таких как снимки экрана, документы, пароли из браузеров и информация из буфера обмена.
Атака началась в июне 2023 года и продолжалась до середины августа. Злоумышленники рассылали письма, имитирующие официальные сообщения от регулятора, с подложным документом в формате PDF и вредоносным архивом. Если жертва открывала архив, на её устройстве запускался скрипт [NSIS].nsi, который устанавливал бэкдор в скрытом окне. При этом название сайта, с которого загружался зловред, подражало сайту официального ведомства.
После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.
В середине августа злоумышленники обновили свой бэкдор, добавив новый модуль для кражи паролей из браузеров и увеличив количество проверок среды. Цепочка заражения осталась прежней. Среди отличий — злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.
Российские учреждения из государственного и индустриального сектора стали жертвами массовой кибератаки, обнаруженной Для просмотра ссылки Войди
Атака началась в июне 2023 года и продолжалась до середины августа. Злоумышленники рассылали письма, имитирующие официальные сообщения от регулятора, с подложным документом в формате PDF и вредоносным архивом. Если жертва открывала архив, на её устройстве запускался скрипт [NSIS].nsi, который устанавливал бэкдор в скрытом окне. При этом название сайта, с которого загружался зловред, подражало сайту официального ведомства.
После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.
В середине августа злоумышленники обновили свой бэкдор, добавив новый модуль для кражи паролей из браузеров и увеличив количество проверок среды. Цепочка заражения осталась прежней. Среди отличий — злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.
- Источник новости
- www.securitylab.ru
