Поделиться
Российский госсектор подвергается кибератакам: в ход пущен троянец удаленного доступа
Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») зафиксировали новую волну кибератак с использованием троянца удаленного доступа MysterySnail на государственные организации в России и Монголии. Об этом CNews сообщили представители «Лаборатории Касперского».
Данный зловред «Лаборатория Касперского» уже видела в 2021 г. в атаках, за которыми стояла кибергруппа IronHusky. В их новой кампании, обнаруженной исследователями Kaspersky GReAT, применяется последняя версия модульного троянца MysterySnail.
Атакующие попадают в систему, используя вредоносный скрипт для консоли управления Microsoft. Это компонент Windows, который предоставляет системным администраторам и пользователям интерфейс для конфигурации и мониторинга системы. Скрипт распространяется под видом документа от официальной организации Монголии (National Land Agency of Mongolia, ALAMGAC). Если пользователь откроет файл, загружаются и начинают работать другие вредоносные файлы, в том числе библиотека CiscoSparkLauncher.dll. Она представляет собой бэкдор, который загружает и запускает троянец MysterySnail. Затем зловред взаимодействует с серверами, созданными атакующими, через протокол HTTP.
Использованная версия MysterySnail может выполнять около 40 команд: создавать, читать и удалять файлы, создавать и удалять процессы операционной системы, скачивать список каталогов, открывать прокси-канал и пересылать через него данные. Троянец умеет просматривать список подключенных накопителей, а также в фоновом режиме отслеживать сам момент подключения.
В продолжение кампании злоумышленники стали использовать облегченную версию MysterySnail. Она включает в себя один компонент, поэтому эксперты присвоили ей название MysteryMonoSnail. Эта версия зловреда взаимодействует с тем же командно-контрольным сервером, что и основная, хотя и по другому протоколу — WebSocket, а не HTTP. У MysteryMonoSnail не так много возможностей, как у MysterySnail: облегченная версия запрограммирована на выполнение только 13 базовых команд. Тем не менее, как считают эксперты, ее нельзя недооценивать.
«Кибергруппа IronHusky действует как минимум с 2012 г. Один из ее инструментов — троянец удаленного доступа MysterySnail, который обеспечивает злоумышленникам доступ в систему жертвы. Ранее атакующие уже использовали его в масштабных кампаниях кибершпионажа против ИТ-компаний, а также дипломатических организаций, — сказал Дмитрий Галов, руководитель Kaspersky GReAT в России. — Злоумышленники часто обновляют свои вредоносные программы, поэтому организациям необходимо интегрировать в свои стратегии безопасности непрерывную аналитику киберугроз. Это позволяет им сочетать исторические данные с информацией в режиме реального времени, а в результате предвидеть и нейтрализовать угрозы до того, как они нанесут удар».
Чтобы обезопасить инфраструктуру организации от сложных целевых кибератак, «Лаборатория Касперского» рекомендует: регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать уязвимости, которыми могут воспользоваться злоумышленники; использовать комплексное решение, обеспечивающее защиту от киберугроз в режиме реального времени; проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их тому, как распознавать целевые фишинговые атаки; предоставлять специалистам отделов кибербезопасности доступ к потокам аналитических данных Threat Intelligence, чтобы они оставались в курсе актуальных техник и тактик злоумышленников.
Поделиться
Короткая ссылка
