События

Группировка APT 28 вооружилась новым трояном

Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks раскрыли подробности о появившемся в арсенале «русских хакеров» новом вредоносном ПО. По встречающемуся в коде слову вредонос был назван исследователями Cannon.

Cannon представляет собой троян для сбора информации о системе и создания скриншотов и используется преступниками в рамках шпионской кампании против правительственных организаций в Европе и США как минимум с прошлого месяца. По словам исследователей, троян был взят на вооружение группировкой APT 28, также известной как Fancy Bear и Sofacy и связываемой ИБ-экспертами с правительством РФ.

Для распространения Cannon преступники используют фишинговые письма, эксплуатирующие недавнее крушение самолета авиакомпании Lion Air. Письма содержат вложение Lion Air Boeing 737.docx, а их автором указан некий Joohn.

При попытке открыть документ появляется сообщение, что он был создан в старой версии Microsoft Word, и для его просмотра нужно активировать макросы. Когда пользователь соглашается включить макросы, запускается процесс установки трояна. С целью обхода обнаружения вредонос устанавливается на систему только поле завершения сеанса Word.

Наряду с Cannon в данной кампании используется еще один вредонос – Zebrocy, уже встречавшийся в операциях, проводимых APT 28. Cannon функционирует подобно Zebrocy, но в отличие от него устанавливает связь с C&C-сервером для получения инструкций. Каждые 10 секунд вредонос делает скриншоты и каждые пять минут собирает данные.

Исследователи не раскрывают ни характер похищаемой информации, ни данные об атакованных правительствах.

Источник

Автор: Сергей Куприянов
21.11.2018 (10:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.