0 |
"Лаборатория Касперского" продолжает исследование вредоносной кампании Madi, обнаруженной в ходе совместного расследования с фирмой Seculert.
Почти на протяжении года на всей территории Ближнего Востока продолжалась кампания по проникновению в компьютерные системы. При атаках Madi для распространения шпионского ПО используются преимущественно технологии социальной инженерии.
Отмечается, что слежка за жертвами и коммуникации в инфраструктуре Madi были реализованы достаточно просто. В настоящее время действуют пять командных веб-серверов, на которых установлен веб-сервер Microsoft IIS v7.0, а также Microsoft Terminal Services для RDP-доступа. Кроме того, на всех серверах используются одинаковые копии нестандартного ПО для управления сервером, написанного на C#. Эти же серверы используются для сбора украденных данных. Судя по всему, обработка украденных данных на стороне сервера организована не особенно хорошо: для изучения данных, полученных с каждой из взломанных систем, в разное время на сервер приходится заходить разным операторам.
Операторы по неизвестной пока причине осуществляли ротацию сервисов, доступных по этим IP-адресам: на данный момент не удалось определить закономерность, определяющую, какими экземплярами вредоносных программ управляет какой сервер. Согласно данным, полученным с sinkhole-марштуризатора и из других надежных источников, которые позволили определить примерное местонахождение жертв Madi, они преимущественно распределены территориально по Ближнему Востоку, однако некоторые из них находятся в США и ЕС. Похоже, что среди жертв есть специалисты и представители университетской среды (как студенты, так и преподаватели), которые путешествуют по всему миру с ноутбуками, зараженными шпионским ПО Madi.
Более детально об исследовании "Лаборатории Касперского" вы можете прочитать в блоге компании.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |