Кибершпионаж: прикормить и поймать

ESET обнаружила таргетированную кампанию кибершпионажа на Украине. О ней рассказал Антон Черепанов, вирусный аналитик ESET, на международном форуме Positive Hack Days.

За последний год на Украине зафиксирован ряд атак типа АРТ (Advance Persistent Threat – постоянная угроза повышенной сложности). После атак с трояном BlackEnergy, нацеленных на энергетические объекты страны, и операции кибершпионажа Potao, ориентированной на госслужбы Украины и России, аналитики ESET обнаружили новую кампанию – операцию «Прикормка» (Groundbait). 

Главное отличие операции от предыдущих атак – нацеленность на представителей Донецкой и Луганской народных республик, а также украинских госслужащих, политиков и журналистов. 

В атаках используется шпионское ПО Win32/Prikormka. Программа имеет модульную архитектуру, что позволяет злоумышленникам расширять ее функционал и красть различные типы данных и файлов. 

Win32/Prikormka распространяется «классическим» способом – в фишинговых письмах. Каждый образец рассылки, изученный аналитиками ESET, имел привлекающее внимание название иприложенный документ-приманку, темы которых были связаны с ситуацией на востоке Украины. 

Выбранное название – операция «Прикормка» – связано с одной атакой, отличающейся от остальных. Приманкой выступал прайс-лист прикормок для рыбалки на русском языке, запускающий загрузку вредоносного файла prikormka.exe. 

Прикормка содержит натуральный бетаин, а приложение – вредоносный код: 

Прикормка содержит натуральный бетаин, а приложение – вредоносный код

По оценкам аналитиков ESET, злоумышленники, стоящие за операцией «Прикормка», действуют с территории Украины. Выбор объектов шпионажа позволяет предположить, что атака имеет политические мотивы. 

«Собрать исчерпывающие доказательства об источнике любой АРТ-атаки крайне сложно, - комментирует Роберт Липовски, вирусный аналитик ESET. – Но без них любые попытки назвать виновных будут носить спекулятивный характер. В случае с «Прикормкой» не исключена возможность инсценировки».    

Редактор раздела: Тимофей Белосельцев (info@mskit.ru)

Рубрики: ПО, Web, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

02.07.2020 TeleMultiMedia Forum: удастся ли заработать на романтической ностальгии по карантину

02.07.2020 «Цифровое будущее в эпоху перемен»: ЭОС рассказал, как перейти на удаленку

22.06.2020 Cisco адаптируется к новой нормальности

17.06.2020 Ericsson Mobility Report: COVID-19 не мешает развитию 5G

15.06.2020 РИФ.Онлайн: за что отвечают инфлюэнсеры?

21.05.2020 Дистанционное образование не вытеснит очное

21.05.2020 Развитие ECM-решений ЭОС: новые функции и возможности импортозамещения

14.05.2020 Телеком между Сциллой и Харибдой

NNIT.RU: последние новости Нижнего Новгорода

02.07.2020 TeleMultiMedia Forum: удастся ли заработать на романтической ностальгии по карантину

02.07.2020 «Цифровое будущее в эпоху перемен»: ЭОС рассказал, как перейти на удаленку

22.06.2020 Cisco адаптируется к новой нормальности

17.06.2020 Ericsson Mobility Report: COVID-19 не мешает развитию 5G

15.06.2020 РИФ.Онлайн: за что отвечают инфлюэнсеры?

21.05.2020 Дистанционное образование не вытеснит очное

21.05.2020 Развитие ECM-решений ЭОС: новые функции и возможности импортозамещения

14.05.2020 Телеком между Сциллой и Харибдой

ITSZ.RU: последние новости Петербурга

02.07.2020 TeleMultiMedia Forum: удастся ли заработать на романтической ностальгии по карантину

02.07.2020 «Цифровое будущее в эпоху перемен»: ЭОС рассказал, как перейти на удаленку

26.06.2020 Цифровые драйверы коронакризиса

22.06.2020 Cisco адаптируется к новой нормальности

17.06.2020 Ericsson Mobility Report: COVID-19 не мешает развитию 5G

15.06.2020 РИФ.Онлайн: за что отвечают инфлюэнсеры?

21.05.2020 Дистанционное образование не вытеснит очное

21.05.2020 Развитие ECM-решений ЭОС: новые функции и возможности импортозамещения