Търсене
Close this search box.

Киберкампания срещу Русия и Сърбия

През изминалата година извършителят на атаки, известен като Space Pirates, е свързан с атаки срещу поне 16 организации в Русия и Сърбия, като е използвал нови тактики и е добавил нови кибернетични оръжия към арсенала си.

„Основните цели на киберпрестъпниците все още са шпионаж и кражба на поверителна информация, но групата е разширила интересите си и географията на атаките си“, заявиха от Positive Technologies в доклад за задълбочено проучване, публикуван миналата седмица.

Целите включват правителствени агенции, образователни институции, частни охранителни фирми, производители на аерокосмическа техника, земеделски производители, фирми в областта на отбраната, енергетиката и здравеопазването в Русия и Сърбия.

Анализът на Positive Technologies на инфраструктурата за атаки разкрива интереса на субекта на заплаха към събирането на архиви на PST имейли, както и използването на Deed RAT – артефакт на зловреден софтуер, който се приписва изключително на противниковия колектив.

Твърди се, че Deed RAT е наследник на ShadowPad, който сам по себе си е еволюция на PlugX, като и двата са широко използвани от китайските екипи за кибершпионаж. В процес на активна разработка, зловредният софтуер се предлага в 32- и 64-битови версии и е оборудван с възможност за динамично извличане на допълнителни плъгини от отдалечен сървър.

Това включва плъгин Disk за изброяване на файлове и папки, изпълнение на команди, записване на произволни файлове на диска и свързване към мрежови устройства и модул Portmap, който се използва за пренасочване на портове.

Deed RAT функционира и като канал за обслужване на полезен товар на следващ етап, като Voidoor, недокументиран досега зловреден софтуер, който е предназначен да се свързва с легитимен форум, наречен Voidtools, и с хранилище в GitHub, свързано с потребител на име „hasdhuahd“ за командване и управление (C2).

Space Pirates беше разкрита за първи път от руската компания за киберсигурност през май 2022 г., като се подчертаха нейните атаки срещу аерокосмическия сектор в страната. Групата, за която се твърди, че е активна поне от края на 2019 г., има връзки с друг противник, проследен от Symantec като Webworm.

Voidtools е разработчик на безплатна помощна програма за търсене на десктоп за Microsoft Windows, наречена Everything, като нейният форум се захранва с помощта на софтуер за форуми с отворен код, наречен MyBB. Основната цел на Voidoor е да влезе във форума, използвайки твърдо кодирани идентификационни данни, и да получи достъп до личната система за съобщения на потребителя, за да търси папка, отговаряща на определен идентификационен номер на жертвата.

Доказателствата показват, че акаунтите в GitHub и voidtools са били регистрирани някъде през ноември 2022 г.

„Хакерите работят върху нов зловреден софтуер, който прилага неконвенционални техники, като voidoor, и модифицират съществуващия си зловреден софтуер“, казват от Positive Technologies, като добавят, че заплахите използват „голям брой публично достъпни инструменти за навигация в мрежите“ и използват уеб скенера за уязвимости Acunetix, за да „разузнават инфраструктурите, към които са насочени“.

 

Източник: The Hacker News

Подобни публикации

29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
28 май 2024

Хакерите се насочват към VPN мрежите на Check P...

Заплахите се насочват към VPN устройствата за отдалечен достъп на C...
28 май 2024

Фишингът се разраства

Преходът към облака, лошата хигиена на паролите и развитието на тех...
Бъдете социални
Още по темата
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
Последно добавени
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
29/05/2024

Рутерът за игри TP-Link Arc...

Рутерът за игри TP-Link Archer C5400X...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!