Поделиться
Новый зловред используется для кибершпионажа за крупным бизнесом на Ближнем Востоке и в Африке
Глобальный центр исследования и анализа угроз (GReAT) «Лаборатории Касперского» обнаружил, что кибергруппа SideWinder использует новый инструмент для шпионажа, получивший название StealerBot. В первую очередь злоумышленники целятся в крупные организации и стратегическую инфраструктуру на Ближнем Востоке и в Африке, однако потенциальный круг жертв может быть шире. Об этом CNews сообщили представители «Лаборатории Касперского».
Чем известна группа. SideWinder (или T-APT-04, RattleSnake) попала в поле зрения экспертов кибербезопасности в 2012 г. и до сих пор остается одной из наиболее активных кибергрупп. «Лаборатория Касперского» впервые сообщила о ней в 2018 г. Основной целью группы были военные и государственные учреждения в Пакистане, Шри-Ланке, Китае и Непале, а также организации из других сфер и стран Южной и Юго-Восточной Азии. Для заражения злоумышленники в основном использовали вредоносные документы, эксплуатирующие уязвимости в Office, а иногда — файлы LNK, HTML и HTA, распространяющиеся в архивах. Часто в этих документах содержалась информация с популярных сайтов, чтобы придать им легитимный вид и убедить жертву открыть файл. В рамках разных кампаний группа использовала несколько семейств вредоносного ПО: среди них были как специально разработанные, так и модифицированные версии готовых программ, общедоступные RAT-троянцы.
Что изменилось. Группа расширила географию атак — на Ближний Восток и Африку. Также SideWinder применила ранее неизвестный инструмент, получивший название StealerBot. Это продвинутый модульный имплант, специально разработанный для шпионажа. На данный момент группа использует его в качестве основного инструмента после эксплуатации уязвимостей. StealerBot способен выполнять целый ряд действий, например устанавливать дополнительное вредоносное ПО, делать скриншоты, регистрировать последовательность нажатия клавиш, красть пароли из браузеров, перехватывать учетные данные RDP (Remote Desktop Protocol), извлекать файлы.
«StealerBot позволяет злоумышленникам осуществлять слежку за системами, при этом его обнаружение затруднено. Он работает по модульной структуре, где каждый компонент выполняет определенную функцию. Эти модули никогда не отображаются в виде файлов на жестком диске, что затрудняет их отслеживание: они загружаются непосредственно в память. В основе StealerBot лежит так называемый «Оркестратор», который контролирует весь процесс, взаимодействует с сервером злоумышленников и координирует работу различных модулей», — сказал Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») в России.
Чтобы снизить риски подвергнуться целевым кибератакам, «Лаборатория Касперского» рекомендует компаниям: предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence; регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости; регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга; устанавливать надежное решение класса EDR для защиты конечных устройств, эффективность которого подтверждается независимыми тестовыми лабораториями.
Поделиться
Короткая ссылка
