Trend Micro обнаружила APT-атаку на тысячи компьютеров в бывшем СССР
Алматы. 27 сентября. Kazakhstan Today - Исследователи Trend Micro обнаружили еще одну крупномасштабную серию целевых атак, которая привела к взлому почти 1 500 компьютеров в 61 стране, передает Kazakhstan Today.
Атака под названием "Lurid" отличается от похожих операций, таких как Aurora и Night Dragon, тем, что жертвы находятся преимущественно в России, Казахстане и Украине, а также в других странах бывшего СССР, сообщает Хakep.ru.
По словам Рика Фергюсона, директора по безопасности компания, Trend Micro идентифицировала 47 жертв с 1 465 взломанными компьютерами, включая дипломатические представительства, министерства и правительственные учреждения.
"Эта специфическая кампания включала в себя более 300 вредоносных целевых атак, управляемых взломщиками, которые использовали уникальный идентификатор, встроенный во вредоносные программы", - написал он в исследовании.
"В общем, взломщики использовали сеть управления [C&C] из 15 доменных имён и 10 активных IP-адресов, чтобы поддерживать постоянный контроль над 1 465 жертвами".
"Загрузчик Lurid - это часть Enfal, которым в прошлом пользовались для атаки правительства США и неправительственных организаций, хотя это и не общедоступный набор инструментов", - объяснил Фергюсон.
Атака Lurid, отслеженная Trend Micro, действует в стиле APT (advanced persistent threats). Она использует различные эксплойты для Adobe Reader и "архивы RAR, содержащие вредоносные скринсейверы" с целью внедрения вредоносных программ, которые связывают пораженную систему с сетью командных серверов.
"Взломщики не всегда полагаются на zero-day эксплойты, а достаточно часто используют более старые, надёжные эксплойты и сохраняют эксплойты нулевого дня для более сложных целей", - сообщил Фергюсон.
"В данной кампании мы не обнаружили эксплойтов нулевого дня, но обнаружили несколько ссылок на использование таких эксплойтов".
"Более того, Lurid поддерживает живучесть на инфицированных системах устанавливаясь как сервис Windows, или копируясь в системную папку и меняя обычную папку запуска на специальную, созданную ей", - объяснил Фергюсон.
Хакеры использовали вредоносные программы, чтобы воровать данные и посылать их на свои сервера, а также для передачи команд на инфицированные компьютеры.
"Эти команды позволяют злоумышленникам посылать и получать файлы, а также активировать удалённую оболочку на взломанных системах", - сказал Фергюсон.
"По-прежнему остаётся тайной происхождение взломщиков, учитывая, что IP-адреса и доменные имена могут использоваться, чтобы ввести в заблуждение исследователей", - сказал Фергюсон.
При использовании информации гиперссылка на информационное агентство Kazakhstan Today обязательна. Авторские права на материалы агентства.