| +11 голос |
|
Команда кибербезопасности Mandiant, фирмы FireEye, сообщила вчера, что фишинговая кампания, прокатившаяся в декабре двумя волнами по финансовым, коммуникационным, медицинским и прочим организациям во всём мире, базировалась на трёх абсолютно новых штаммах вредоносных программ, получивших названия Doubledrag, Doubledrop и Doubleback.
Создавшая это ПО преступная группа UNC2529, по их словам, «не испытывала недостатка ни в опыте, ни в ресурсах».
Всего в глобальной схеме фишинга было задействовано более 50 доменов. В ходе успешной атаки второй волны (11-18 декабря 2020 г.) UNC2529 взломала домен, принадлежащий американской компании по оказанию услуг отопления и охлаждения, изменила его записи DNS и использовал эту структуру для запуска фишинговых атак на не менее 22 других организаций.
Электронные письма-приманки содержали ссылки на URL-адреса, ведущие к файлам .PDF вместе с файлом JavaScript в Zip-архиве. Сами документы, взятые из общедоступных источников, были нарочно испорчены, чтобы побудить жертвы в попытке их открыть дважды щелкнуть на файл .js, где находился замаскированный загрузчик Doubledrag. В некоторые письма был вложен файл Excel с макросом, несущим ту же вредоносную нагрузку.
Запущенный Doubledrag пытался загрузить так называемый дроппер, Doubledrop, — обфусцированный сценарий PowerShell, служащий для загрузки на заражённую машину бэкдора, Doubleback.
Финальный элемент трёхкомпонентный вредоносной схемы, Doubleback, был создан сразу в двух вариантах: 32- и 64-разрядном. Получив контроль, он загружал свои плагины, а затем входил в контакт с командно-управляющим (C2) сервером.
Как отмечает Mandiant, интересным моментом является то, что в файловой системе присутствует один загрузчик. Остальные компоненты сериализованы в базе данных реестра, что затрудняет их обнаружение, в особенности антивирусными движками, ориентированными на поиск файлов.
Эксперты, продолжающие изучать новое вредоносное ПО, утверждают, что оно продолжает совершенствоваться. На это, в частности, указывает встроенная функция сканирования наличия в системе антивирусных продуктов, типа Kaspersky и BitDefender — они обнаруживаются, но никаких дальнейших действий не предпринимается.
Mandiant пока не располагает сведениями о намерениях инициаторов этой фишинговой кампании, отмечая, впрочем, что «широкий охват разных отраслей и географических регионов согласуется с расчётом таргетинга, наиболее часто встречающимся среди финансово мотивированных групп».
Kingston повертається у «вищу лігу» серверних NVMe SSD
| +11 голос |
|
