Нову модифікацію бекдора Okrum виявили фахівці компанії ESET. Протягом 2017 року бекдор використовували для цілеспрямованих атак на дипломатичні місії і держустанови в Словаччині, Бельгії, Бразилії, Чилі та Гватемали.
Незважаючи на технічну простоту Okrum, зловмисники вміють приховувати його присутність. Наприклад, завантажувач шкідливої програми захований в PNG-файлі, а додаткові зашифровані файли не видно користувачеві. Оператори бекдора також приховують шкідливий трафік за допомогою C&C-сервера.
Аналіз зразків дає підстави вважати, що вони входять в арсенал хакерського угруповання Ke3chang (також відомої як APT15).
“Деякі шкідливі зразки, використані проти словацьких компаній, зв’язувалися з доменом, який імітував словацький картографічний портал”, – коментує експерт ESET Зузана Хромцова.
При цьому зловмисники націлювалися на організації, які раніше постраждали від іншого сімейства шкідливих програм під назвою Ketrican.
Бекдор Ketrican був зафіксований в 2015 році – тоді підозрілу активність помітили в Словаччині, Хорватії, Чехії та ряді інших країн. Проаналізувавши зразки шкідливого програмного забезпечення, експерти вирішили, що вони входять в набір угруповання Ke3chang. У наступні роки ESET фіксувала появу нових версій цього бекдору.
“Ми з’ясували, що шкідливі програми Okrum і Ketrican використовували при атаках на одні і ті ж дипломатичні установи, – говорить експерт ESET Зузана Хромцова. – Угруповання і раніше активне – в березні 2019 роки ми зафіксували черговий зразок Ketrican”.
Кіберзлочинці з Ke3chang активні як мінімум з 2010 року. Мета хакерів – шпигунство за дипломатичними організаціями в Європі.
Стало відомо, що компанія “Viber”, яка володіє однойменним месенджером, планує відкрити в Україні офіс і набирає штат працівників.
Окрім цього, експерти з кібербезпеки з компанії Positive Technologies виявили уразливість, експлуатація якої дозволяє зловмисникам обійти обмеження на списання великих сум безконтактним способом із карт Visa.
Зверніть увагу, дослідник з компанії Cure53 Алекс Інфюр (Alex Inführ) повідомив, що патч для недавно виправленої уразливості в офісному пакеті LibreOffice можна обійти. Для виконання коду на системі зловмиснику досить змусити жертву відкрити шкідливий документ.