Хакеры атакуют Донбасс и Крым с помощью "мощной магии"

21 марта 2023 в 07:53

"Лаборатория Касперского" выявила кибератаки в Донбассе и Крыму с новым вирусом.

С 2021 года в ДНР, ЛНР и Крыму продолжается кампания кибершпионажа, которая направлена на правительственные, транспортные и сельскохозяйственные организации, рассказали РБК в "Лаборатории Касперского". Используется в ней ранее неизвестная специалистам по кибербезопасности вредоносная программа под названием CommonMagic.

Атака, предположительно, начинается с рассылки целевых фишинговых писем по электронной почте. Жертвам они поступают от имени госорганизаций. Нажав на ссылку, жертва скачивает с вредоносного веб-сервера ZIP-архив с двумя файлами. Первый - безвредный документ-приманка (в формате PDF, XLSX или DOCX), второй является вредоносным LNK-файлом с двойным расширением (.pdf.lnk).

Если архив скачать и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Команды она получает из удаленной папки в публичном облаке, из выполняет и потом загружает результаты исполнения файлов обратно в облако. PowerMagic внедряется в систему и остается там даже после перезагрузки зараженного устройства. Ее используют также для развертывания вредоносной платформы CommonMagic, состоящей из нескольких модулей. Например, она может с USB-устройств красть файлы, каждые три секунды делать скриншоты и отправлять их атакующим.

Эксперт по кибербезопасности в "Лаборатории Касперского" Леонид Безвершенко сообщил, что специалисты следят за этой кампанией. В ней примечательны не вредоносное ПО и техники - они не самые хитроумные, а то, что облачное хранилище используется в качестве командно-контрольной инфраструктуры. Эту угрозу продолжают исследовать, чтобы позднее рассказать о CommonMagic больше.

Фото ТЕЛЕПОРТ.РФ

При использовании материалов активная индексируемая гиперссылка на сайт ТЕЛЕПОРТ.РФ обязательна.

Содержимое данного поля является приватным и не предназначено для показа.

Простой текст

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и абзацы переносятся автоматически.
  • Each email address will be obfuscated in a human readable fashion or, if JavaScript is enabled, replaced with a spam resistent clickable link. Email addresses will get the default web form unless specified. If replacement text (a persons name) is required a webform is also required. Separate each part with the "|" pipe symbol. Replace spaces in names with "_".

Новости