Архив новостей

Отчет о кибершпионаже как приманка

Компания Mandiant, специализирующаяся на защите от целевых кибератак, предупреждает о вредоносных рассылках, использующих как элемент spear-phishing атаки копию текста ее нового исследования о китайских хакерах.

Отчет Mandiant, опубликованный в середине февраля, содержит доказательства связи одной из наиболее активных хакерских группировок со спецподразделением Народно-освободительной армии Китая. По утверждению экспертов, эта группа китайских хакеров на протяжении многих лет занималась кибершпионажем и похитила сотни терабайт конфиденциальной информации у 140 иностранных организаций. В отчете также указаны свыше 3 тыс. характерных особенностей, позволяющих с уверенностью установить авторство данной группировки.

По свидетельству экспертов, это детальное исследование, вызвавшее оживленные дискуссии и заставившее официальный Китай в очередной раз с негодованием отмежеваться от шпионской деятельности в интернете, ныне используется злоумышленниками в качестве приманки. Одно из зловредных сообщений, обнаруженное Symantec, написано от имени некоего представителя СМИ, рекомендующего получателю ознакомиться с находками Mandiant. Письмо отослано с адреса бесплатной почты, оформлено на японском языке, причем довольно безграмотно, и снабжено PDF-вложением, использующим имя автора исследования. При запуске этого файла пользователю воспроизводится оригинальная страница отчета с оглавлением, тогда как в фоновом режиме активируется эксплойт, атакующий только что пропатченную уязвимость CVE-2013-0641 в Adobe Reader/Acrobat. В случае успеха на машину жертвы устанавливается даунлоудер, подгружающий другие вредоносные файлы со стороннего сервера – по свидетельству Seculert, корейского.

Другой зловредный PDF-файл, замаскированный под копию отчета Mandiant, был обнаружен независимым исследователем Брэндоном Диксоном (Brandon Dixon, http://blog.9bplus.com/mandiant-apt2-report-lure). Этот файл запаролен и при активации воспроизводит весь оригинальный документ, а также запускает в системе новый процесс AdobeArm.tmp. По свидетельству Диксона, полезная нагрузка данного PDF-файла представляет собой хорошо известный эксплойт к уязвимости CVE-2011-2462 в Adobe Reader/Acrobat. При отработке эксплойта на машину жертвы устанавливается бэкдор, получающий команды с C&C домена, уже засвеченного в прошлогодних атаках против правозащитников. По данным Seculert, спам-рассылки, использующие этот вредоносный аттач, адресованы китайским журналистам.

Mandiant тем временем проводит собственное расследование, пытаясь выявить авторов вредоносных рассылок, и уже опровергла версию о взломе ее ресурсов. Во избежание неприятностей пользователям рекомендуется скачивать отчеты компании из первоисточника. На сайте Mandiant опубликованы также хэши, с помощью которых можно удостовериться в безопасности загрузок.

Отчет о кибершпионаже как приманка

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике