Спецпроекты

Безопасность Администратору Пользователю Стратегия безопасности Маркет

Eset обнаружила новую версию трояна группировки APT15

Международная антивирусная компания Eset обнаружила новую модификацию бэкдора Okrum. Анализ образцов дает основание полагать, что они входят в арсенал хакерской группировки Ke3chang (также известной как APT15).

Несмотря на техническую простоту Okrum, злоумышленники умеют скрывать его присутствие. Например, загрузчик вредоносной программы спрятан в PNG-файле, а дополнительные зашифрованные файлы не видны пользователю. Операторы бэкдора также скрывают вредоносный трафик с помощью C&C-сервера.

«Некоторые вредоносные образцы, использованные против словацких компаний, связывались с доменом, который имитировал словацкий картографический портал», — сказала эксперт Eset Зузана Хромцова.

Впервые Okrum был детектирован в декабре 2016 г. В течение 2017 г. бэкдор использовался для таргетированных атак на дипломатические миссии и госучреждения в Словакии, Бельгии, Бразилии, Чили и Гватемале.

При этом злоумышленники нацеливались на организации, ранее пострадавшие от другого семейства вредоносных программ под названием Ketrican.

Бэкдор Ketrican был зафиксирован в 2015 г. — тогда Eset заметила подозрительную активность в Словакии, Хорватии, Чехии и ряде других стран. Проанализировав образцы вредоносного ПО, эксперты решили, что они входят в набор группировки Ke3chang. В последующие годы Eset фиксировала появление новых версий этого бэкдора.

«Мы выяснили, что вредоносные программы Okrum и Ketrican использовались при атаках на одни и те же дипломатические учреждения, — сказала эксперт Eset Зузана Хромцова. — Группировка по-прежнему активна — в марте 2019 г. мы зафиксировали очередной образец Ketrican».

Киберпреступники из Ke3chang активны как минимум с 2010 г. Цель хакеров — шпионаж за дипломатическими организациями в Европе.

Короткая ссылка