«Лаборатория Касперского» обнаружила новую кибергруппировку, занимающуюся кибершпионажем
Эксперты «Лаборатории Касперского» на протяжении нескольких последних месяцев наблюдают волну кибератак на дипломатические и государственные учреждения в странах Средней и Юго-Восточной Азии. От действий злоумышленников в наибольшей степени пострадали пользователи в Казахстане, Узбекистане, Киргизии, Индии, Мьянме, Непале и Филиппинах, сообщили CNews в «Лаборатории Касперского». Для заражения устройств во всех этих странах атакующие применяют программу-эксплойт, использующую одну и ту же уязвимость в приложении Microsoft Office.
Своей приверженностью именно этому зловреду отличались уже известные в киберпреступном мире группировки Platinum, APT16, EvilPost и SPIVY, однако на этот раз, как выяснили эксперты «Лаборатории Касперского», все следы ведут к новой группе — Danti.
По данным компании, первые признаки активности Danti были замечены в феврале этого года, и кибергруппировка до сих пор не сбавляет обороты. Используемая этими злоумышленниками уязвимость CVE-2015-2545 была закрыта Microsoft еще в конце 2015 г., однако это обстоятельство не мешает им осуществлять свою масштабную кампанию кибершпионажа.
Атакующие распространяют эксплойт с помощью адресных фишинговых писем, а для того чтобы убедить получателя открыть сообщение, они используют имена высокопоставленных государственных лиц в качестве отправителей. Как только эксплойт запускается на устройстве жертвы, в системе устанавливается программа-бэкдор, дающая атакующим полный доступ к конфиденциальным данным в зараженной сети. При этом обнаружить факт атаки довольно непросто — используемый Danti эксплойт отличается повышенной сложностью и способен избегать детектирования встроенными средствами защиты Windows, указали в компании.
Происхождение Danti пока неясно, однако эксперты «Лаборатории Касперского» полагают, что группировка каким-то образом связана с организаторами кампаний кибершпионажа NetTraveler и DragonOK. Аналитики также считают, что за Danti стоят китайскоговорящие хакеры.
«Мы уверены, что этот эксплойт еще покажет себя в будущем. Пока же мы продолжаем изучать связанные с этим зловредом инциденты и проверять, имеют ли они отношение к другим атакам в азиатском регионе, — рассказал Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — В целом волна атак, осуществленная с помощью всего лишь одной уязвимости, указывает на две тенденции. Во-первых, злоумышленники все активнее уходят от дорогостоящей и длительной разработки сложных инструментов, в частности, эксплойтов под уязвимости нулевого дня. Ведь, как показывает практика, использование уже известных брешей дает не худший результат. А во-вторых, своевременное обновление ПО и закрытие уязвимостей в коммерческих компаниях и государственных организациях все еще не является повсеместно распространенной практикой. Так что мы призываем компании уделять больше внимания процессу установки патчей, поскольку именно эта мера позволит им защитить себя от атак с использованием уязвимостей».
Российский офис Microsoft сообщил, что уязвимость CVE-2015-2545 была закрыта еще в конце 2015 г., для чего было выпущено соответствующее обновление Microsoft Office, которое автоматически было доставлено на компьютеры с лицензионным ПО. «Чтобы обезопасить ПК, необходимо использовать лицензионное ПО, а также своевременно устанавливать обновления», - заявили представители компании.
Облачные сервисы, в частности Office 365, «позволят всегда использовать самую последнюю версию продукта с обновленными средствами защиты. Так, в недавнем обновлении Office 365 был выпущен сервис Exchange Online Advanced Threat Protection, который позволяет обеспечить защиту от вредоносных программ подобного уровня. В нем специально предусмотрены механизмы, позволяющие обнаружить вредоносное ПО, которое не опознается антивирусами, а также обеспечивается защита от фишинговых атак благодаря механизму создания «безопасных ссылок» в тексте писем», - прокомментировали в Microsoft заявление «Лаборатории Касперского».