Кіберзлочинна група Gamaredon, яка діє принаймні з 2013 року та відповідальна за низку атак, направлених у більшості випадків на українські установи, відновила активність. Про це пише ESET.
Під час останньої кампанії зловмисники скористалися інноваційними інструментами для поширення шкідливого програмного забезпечення. Перший інструмент націлений на Microsoft Outlook з використанням створеного Microsoft Outlook Visual Basic для додатків (VBA) проекту та дозволяє зловмисникам використовувати обліковий запис електронної пошти жертви для відправки фішингових листів контактам з адресної книги. Використання макросів Outlook є досить нетиповим способом поширення шкідливого програмного забезпечення.
Другий інструмент використовується зазначеною APT-групою для додавання макросів та посилань на віддалені шаблони в документах Office — Word і Excel. Обидва інструменти створені для подальшого поширення шкідливого програмного забезпечення Gamaredon в інфікованих мережах.
Зловмисники зламують облікові записи Microsoft Outlook і розсилають фішингові листи.
“За останні кілька місяців активність цієї групи зловмисників зросла, і кіберзлочинці цілеспрямовано відправляють шкідливі листи в поштові скриньки користувачів. До цих електронних листів прикріплюють вкладення — документи зі шкідливими макросами, які у разі запуску намагаються завантажити різні види шкідливих програм”, — говорить Жан-Ян Боутін, керівник дослідницької лабораторії ESET.
Нові інструменти використовують шкідливі макроси або посилання на віддалені шаблони та додають їх в існуючі документи атакованої системи, що є дуже ефективним способом розповсюдження в корпоративній мережі компанії, оскільки документи зазвичай передаються колегам. Крім того, завдяки спеціальній функції, яка дозволяє змінювати налаштування безпеки макросів Microsoft Office, інфіковані користувачі не підозрюють, що вони піддають ризику свої робочі станції кожного разу під час відкриття документів.
Група кіберзлочинців використовує бекдори та програми для викрадення файлів з метою ідентифікації та збору конфіденційних документів в інфікованій системі та завантаження їх на командний сервер (C&C). Крім того, ці шкідливі програми для викрадення файлів мають можливість виконувати команди з віддаленого сервера.
Між Gamaredon та іншими APT-групами є одна істотна відмінність — кіберзлочинці докладають мінімальні зусилля, щоб залишатися непоміченими в мережі. Навіть незважаючи на те, що їх інструменти здатні використовувати методи для маскування, основне завдання цієї групи зловмисників — якомога швидше поширитися у мережі своєї жертви, намагаючись викрасти дані.
“Хоча використання скомпрометованої поштової скриньки для відправки шкідливих листів без згоди користувача не є новою технікою, ми вважаємо, що це перший зафіксований випадок атаки кіберзлочинців з використанням файлу OTM та макроса Outlook, — пояснює Жан-Ян Боутін. — Ми змогли зібрати безліч різних зразків шкідливих скриптів, виконуваних файлів і документів, які використовуються групою Gamaredon під час усіх шкідливих кампаній”.
Варто зазначити, що продукти ESET виявляють ці загрози як MSIL/Pterodo, Win32/Pterodo або Win64/Pterodo.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЧОМУ GOOGLE MEET КРАЩИЙ ЗА ZOOM ТА ЯК НИМ КОРИСТУВАТИСЯ?
ЯК ОТРИМУВАТИ В MICROSOFT OUTLOOK СПОВІЩЕННЯ ЛИШЕ ПРО ТІ ЕЛЕКТРОННІ ЛИСТИ, ЯКІ ВАМ ЦІКАВІ?
ЯК ПЕРЕВІРИТИ ОПЕРАТИВНУ ПАМ’ЯТЬ НА ПОМИЛКИ ТА ВИПРАВИТИ ЇХ? – ІНСТРУКЦІЯ
Нагадаємо, дослідники компанії Avast виявили три шахрайських VPN-додатки для iOS-пристроїв, які самовільно списують кошти користувачів. За словами експертів, додатки стягують підвищену плату за послуги, які не надаються належним чином.
Також Apple опублікувала набір безкоштовних інструментів та ресурсів, щоб допомогти розробникам менеджерів паролів – а також інших програм – генерувати надійні паролі.
До речі, компанія Mozilla планує додати в майбутні версії Firefox можливість експорту збережених облікових даних у файл формату CSV, який потім можна імпортувати в менеджер паролів або зберігати в якості резервної копії.
Окрім цього, дослідники із ProtectEM виявили, що контролери світлофорів на мікросхемах SWARCO LS4000 вразливі до атак через відкритий порт, який використовується для налагодження роботи системи управління.
А експерти з компанії IntSights відзначили збільшення попиту на облікові дані YouTube-каналів на підпільних торгових майданчиках. Вартість пропонованих екаунтів пропорційна кількості передплатників. Наприклад, ціна за канал з 200 тис. передплатників починається від $1 тисячі.