Поделиться
«Лаборатория Касперского» выявила более 10 тыс. атак на СМБ, госструктуры и сельскохозяйственные организации с использованием новых вредоносных скриптов
Исследователи «Лаборатории Касперского» выявили более 10 тыс. финансово мотивированных атак на организации из разных стран — в том числе из России — в рамках кампании с использованием нескольких типов вредоносного ПО, о которой ранее сообщало ФБР. Как выяснили эксперты, злоумышленники применяют не только бэкдоры, кейлоггеры и майнеры, но и новые вредоносные скрипты, позволяющие отключить функции безопасности и облегчить загрузку вредоносных программ.
По данным телеметрии «Лаборатории Касперского», кампания продолжается: с мая по октябрь было совершено более 10 тыс. атак, которые затронули более 200 пользователей. Целью злоумышленников в первую очередь были государственные организации, сельскохозяйственные и торговые предприятия из России, Саудовской Аравии, Вьетнама, Бразилии и Румынии. Отдельные случаи были зафиксированы в США, Индии, Марокко и Греции.
ФБР ранее сообщило, что организации из разных стран подвергаются атакам c использованием сразу нескольких видов вредоносного ПО. Злоумышленники заражают их устройства для того, чтобы с помощью майнеров использовать ресурсы компании для добычи криптовалюты. Помимо этого, используются кейлоггеры для кражи данных и бэкдоры — для получения доступа к системе.
Злоумышленники могут проникать в систему, эксплуатируя уязвимости на серверах и рабочих станциях. Эксперты «Лаборатории Касперского» также обнаружили, что для атак используются новые версии вредоносных скриптов. С их помощью атакующие пытаются обойти Microsoft Defender, а также получить права администратора и помешать работе антивирусных компонентов. Если им это удаётся, они загружают бэкдор, кейлоггер и майнер с веб-ресурса, который сейчас уже недоступен. Майнер использует ресурсы системы, чтобы добывать различные криптовалюты, например, Monero (XMR). В свою очередь кейлоггер фиксирует, какие клавиши нажимает пользователь на клавиатуре и мыши, а бэкдор устанавливает связь с сервером управления и контроля (C2) для получения и передачи данных. Это позволяет злоумышленникам получить удалённый контроль над скомпрометированной системой.
«Эта кампания с использованием различного вредоносного ПО быстро развивается, и, как мы видим, появляются новые модификации инструментов для совершения атак. По всей видимости, злоумышленники стремятся извлечь финансовую выгоду любым возможным способом. Как показало наше исследование, цель атак не ограничивается только майнингом криптовалют. Злоумышленники могут красть учётные данные, чтобы затем продавать их в даркнете, или же реализовывать более сложные сценарии, используя возможности бэкдоров, — сказал Василий Колесников, эксперт по кибербезопасности „Лаборатории Касперского”. — Наши решения, такие как Kaspersky Endpoint Security, помогают выявлять попытки заражения, в том числе с использованием новых модификаций, благодаря их широкому защитному функционалу».
Поделиться
Короткая ссылка
