В последних числах июля специалисты по кибербезопасности из “Лаборатории Касперского” раскрыли серию изощренных целевых атак на российские ИТ-компании и государственные учреждения. Эта кампания, получившая кодовое название EastWind, была нацелена на похищение конфиденциальной информации. Особенно примечательно то, что злоумышленники использовали популярную блог-платформу “Живой Журнал” в качестве своего первоначального командного центра.
Механика атаки была тщательно продумана. Все начиналось с рассылки электронных писем, содержащих вложения в виде RAR-архивов. Внутри этих архивов скрывались вредоносные ярлыки, искусно замаскированные под обычные документы. При активации этих ярлыков запускалась классическая техника DLL sideloading, что приводило к установке трояна. Этот троян затем устанавливал связь с атакующими через облачный сервис Dropbox.
После успешного проникновения в сеть организации, хакеры разворачивали на зараженных компьютерах специализированное вредоносное ПО для кибершпионажа. Одним из ключевых компонентов этого арсенала оказалась усовершенствованная версия бэкдора CloudSorcerer, о котором эксперты “Лаборатории Касперского” уже сообщали в начале июля этого года.
Интересно отметить, что вскоре после публикации информации о CloudSorcerer, киберпреступники оперативно модернизировали его. Они добавили возможность использования профилей пользователей “Живого Журнала” и сайта вопросов и ответов Quora в качестве командного сервера. Это позволило им еще лучше маскировать активность вредоносного ПО, тогда как ранее для этих целей использовался GitHub.
Однако CloudSorcerer был не единственным инструментом в арсенале злоумышленников. На компьютеры жертв также загружались вредоносные программы, ассоциируемые с китайскими хакерскими группировками APT27 и APT31. Эти вредоносные программы обладают впечатляющим набором функций: они способны похищать файлы, следить за действиями пользователя на экране и перехватывать нажатия клавиш на зараженных устройствах.
Георгий Кучерин, эксперт Kaspersky GReAT, комментирует ситуацию: “Использование инструментов, связанных с APT27 и APT31, указывает на то, что эти группы активно сотрудничают, обмениваясь знаниями и инструментами для проведения атак. Наш опыт показывает, что такое взаимодействие значительно повышает эффективность работы продвинутых киберпреступников”.
Эта ситуация подчеркивает растущую сложность и изощренность современных кибератак, а также важность постоянной бдительности и совершенствования методов защиты в мире информационных технологий.