Избранные российские пользователи подвергаются удивительной кибератаке
Компания Symantec описала многолетнюю кибератаку, нацеленную на русскоязычных пользователей ПК. Хотя атака ведется устаревшими методами, хакерам, видимо, удается достигать своих целей.Эксперты антивирусного производителя Symantec опубликовали в блоге компании описание деятельности хакерской группы, названной ими Scarab («Скарабей»), которая с 2012 г. проводит странную атаку на русскоязычных пользователей.
Главная странность кибератак «Скарабеев» - использование устаревших методов работы. Для атаки на целевые системы хакеры применяют устаревшие эксплойты, которые, как правило, к нынешнему моменту уже закрыты производителями ПО. В качестве агента заражения «Скарабеи» также используют устаревший инструмент: почтовую рассылку с инфицированным трояном файлом Microsoft Word, сжатым в архив RAR.
Другой специфической чертой атаки Scarab эксперты Symantec называют ее точную нацеленность. В отличие от обычной практики, когда атакам подвергаются группы компьютеров и локальные сети в компаниях и госорганах, в случае со «Скарабеем» хакеры нападают не более, чем на 10 уникальных ПК в месяц. Никаких признаков, что через них заражаются их соседи по локальной сети, нет.
Несмотря на то, что группа «Скарабей» для проникновения на чужие компьютеры использует старые и даже ликивидированные эксплойты, их атаки продолжаются уже несколько лет. Эксперты Symantec замечают, что, несмотря на все странности и недочеты в организации кампании, хакерской группировке, видимо, удается успешно решать свои задачи по проникновению в целевые ПК.
Для заражения компьютеров своих жертв «Скарабеи» применяют троян, который в номенклатуре Symantec называется Trojan.Scieron и Trojan.Scieron B. Заражение происходит путем рассылки писем с прикрепленным трояном, который, после запуска может использоваться для установки в систему дополнительного вредоносного ПО. Интересно, что, по свидетельству Symantec, все известные зараженные письма «Скарабеев» были отправлены из почты «Яндекса».
В зараженном ПК троян способен собирать и передавать хозяевам информацию о системе, подгружать дополнительные вредоносные модули и исполнять их, находить в зараженной системе нужные файлы, удалять или перемещать определенные файлы.
Жертвы «Скарабеев» по данным Symantec
Национальная принадлежность «Скарабеев» не установлена, однако, по ряду признаков, они знакомы с китайским языком, пишут эксперты Symantec в блоге компании. Их командные сервера (C&C) расположены, главным образом, в Южной Корее, хотя наблюдались случаи их размещения на территориях других стран.
Авторы блога Symantec не уточняют, по какому признаку хозяева «Скарабея» выбирают своих жертв. Однако, зная темы рассылаемых ими писем с вредоносными вложениями, можно предположить, что все пользователи атакуемых ПК владеют русским языком и интересуются вопросами военной техники.