«Лаборатория Касперского»: выявлена активная атака кибершпионажа на организации Крыма, ДНР и ЛНР

Она продолжается до сих пор как минимум с сентября 2021 года

В «Лаборатории Касперского» рассказали о своём очередном открытии. Эксперты выявили целевую атаку на организации и компании, расположенные в Донецке, Луганске и Крыму. Кампания кибершпионажа была зарегистрирована в конце 2022 года. 

«Лаборатория Касперского»: выявлена активная атака кибершпионажа на организации Крыма, ДНР и ЛНР
Сгенерировано нейросетью Midjourney

Атака нацелена на сельскохозяйственные и транспортные организации. Как отмечают в «Лаборатории», она длится уже давно — как минимум с сентября 2021 года. Более того, она до сих пор активна. 

Что интересно, для атаки злоумышленники используют ранее неизвестное специалистам вредоносное ПО. Обнаруженный в «Лаборатории» сложный модульный фреймворк CommonMagic устанавливается после заражения устройства PowerShell-бэкдором.

Атака состоит из нескольких этапов. Сначала производится рассылка фишинговых электронных писем якобы от государственной организации. Затем жертва скачивает с вредоносного веб-сервера ZIP-архив с безвредным документом-приманкой PDF, XLSX или DOCX, дополненным вредоносным LNK-файл с двойным расширением, например, .pdf.lnk. Затем на устройство устанавливается бэкдор PowerMagic, который выполняет команды злоумышленников и загружает результаты в облако. 

В «Лаборатории» отмечают, что PowerMagic используется для развёртывания вредоносной платформы CommonMagic, которая может красть файлы с USB-устройств, делать скриншоты каждые три секунды и отправлять их атакующим.

Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского» рассказал:

Геополитика всегда влияет на ландшафт киберугроз и приводит к появлению новых. Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше. 

21 марта 2023 в 12:31

Автор:

| Источник: Лаборатория Касперского

Все новости за сегодня

Календарь

март
Пн
Вт
Ср
Чт
Пт
Сб
Вс