Отчеты о целевых атаках (APT)

Атаки TeamSpy Crew — незаконное использование TeamViewer в целях кибершпионажа

На днях венгерская лаборатория CrySyS Lab (Лаборатория криптографии и системной безопасности) совместно с Управлением национальной безопасности Венгрии (NBF) опубликовала подробную информацию о резонасной целевой атаке против Венгрии. Данные по конкретным целям атаки не сообщаются, а подробности инцидента остаются засекреченными.

Учитывая возможные последствия подобной атаки, Глобальный центр исследований «Лаборатории Касперского» выполнил технический анализ кампании и связанных с ней образцов вредоносного ПО.

Ниже представлен короткий перечень ответов на часто задаваемые вопросы. Вы можете также загрузить документ, в котором представлены данные выполненного нами технического анализа. Ссылка на него дана в конце этой заметки.

Что это такое?

«TeamSpy» — это операция в области кибершпионажа, целями которой являются политические деятели и правозащитники высокого уровня на всей территории СНГ и восточноевропейских стран. В число жертв также входят государственные организации и частные компании. Атаки продолжаются уже почти десять лет. В частности, о них в 2012 году писали белорусские активисты.

Почему было выбрано название TeamSpy?

Злоумышленники удаленно управляют компьютерами жертв, используя легитимное средство удаленного управления TeamViewer. Это приложение, подписанное действительными цифровыми сертификатами, использует более 100 миллионов пользователей по всему миру. Чтобы не позволить пользователю обнаружить слежку, злоумышленники динамически изменяют код TeamViewer в оперативной памяти, чтобы скрыть все признаки своего присутствия в системе.

Какие действия выполняет вредоносная программа?

Мы имеем дело с операцией, организованной для осуществления кибершпионажа/разведки и кражи данных. В ее рамках осуществляется кража, в частности, следующих данных:

— «Секретных» данных, секретных/частных ключей от шифров, паролей.

— Данных по истории операций на устройствах под управлением Apple iOS, получаемых из iTunes.

— Подробных данных об операционной системе и BIOS.

— Данных о нажатых клавишах и снимков экрана.

Какие именно данные крадут злоумышленники?

Злоумышленников интересуют офисные документы и файлы (например, *.doc, *.rtf, *.xls, *.mdb), pdf-файлы (*.pdf), образы дисков (например, *.tc, *.vmdk), а также файлы, которые потенциально могут содержать конфиденциальную информацию, такую как криптоключи (например,*. pgp, *.p12) и пароли (например, *pass*, *secret*, *saidumlo*, *секрет*.* и *парол*.*).

Что означает «saidumlo»?

Это грузинское слово, означающее «секрет». «Секрет» и «парол» (неизменяемая часть слова пароль) русскоязычные читатели поймут без перевода.

Как организации могут защититься от данных атак?

  1. Проверить компьютер на наличие приложения teamviewer.exe.
  2. Заблокировать доступ к известным доменам и IP-адресам, используемым командными серверами злоумышленников (подробности в нашем техническом документе).
  3. Реализовать строгую систему патч-мененджмента, охватывающую всю организацию. В рамках данной кампании применяются популярные наборы эксплойтов, использующих известные уязвимости в программном обеспечении, устанавливаемом на рабочих станциях.

Более подробные сведения вы найдете в нашем анализе атак TeamSpy.

Атаки TeamSpy Crew — незаконное использование TeamViewer в целях кибершпионажа

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике