«Русские хакеры» устроили «Римские каникулы»

Специалисты из команды Z-Lab Cse CybSec зафиксировали новую вредоносную кампанию, направленную на компьютерные сети Военно-морских сил Италии (Marina Militare) и предприятий-подрядчиков. В организации атаки подозревается хакерская группировка APT28 (более известна как Fancy Bear), предположительно связанная с РФ. Поскольку атаки проходят в летний период, исследователи окрестили операцию «Roman Holiday» («Римские каникулы»).

Атака включает несколько этапов, в рамках которых злоумышленники загружают на целевые системы написанный на Delphi дроппер и новую версию бэкдора X-agent, «засветившегося» в ряде предыдущих операций группировки. В ходе анализа эксперты обнаружили вредоносную dll-библиотеку, которая связывалась по HTTPS с C&C-сервером с именем «marina-info.net».

«Dll-файл, подключающийся к 'marina-info.net' может быть финальным вредоносным модулем, активирующимся при определенных условиях, например, когда вредоносное ПО инфицирует системы с IP-адресами в определенных диапазонах», - пояснили исследователи. Более подробный технический анализ вредоносной кампании представлен здесь .

Группировка APT28 активна по меньшей мере с 2007 года. Сфера интересов хакеров включает правительства, военные ведомства и организации по всему миру. Fancy Bear неоднократно подозревали в различных кибератаках, в том числе на немецкий парламент, французскую телестанцию TV5Monde и компьютерную сеть Демократической партии США в ходе предвыборной кампании 2016 года. Во второй половине 2017 года группировка переключила внимание с НАТО и Украины на азиатские страны, в том числе Китай, Монголию, Южную Корею и Малайзию.

Источник