«Лаборатория Касперского» обнаружила новые атаки кибершпионской группы Chafer

Исследователи «Лаборатории Касперского» обнаружили многочисленные попытки заражения иностранных дипломатических структур в Иране шпионским вредоносным ПО, созданным непрофессионально. Атаки, по данным экспертов, проводятся с использованием обновлённого бэкдора Remexi, а также некоторых легитимных инструментов. Этот бэкдор предположительно связан с киберпреступной группой Chafer, говорящей на фарси. Ранее она была замечена в киберслежке за людьми на Ближнем Востоке.

Стоит отметить, что в развивающихся регионах злоумышленники проводят вредоносные кампании, применяя относительно простое самодельное ПО в сочетании с общедоступными инструментами. В данном случае киберпреступники использовали улучшенную версию бэкдора Remexi, предназначенного для удалённого администрирования компьютера жертвы.

Бэкдор Remexi был впервые обнаружен в 2015 году, когда он использовался кибершпионской группой Chafer для незаконной слежки за отдельными лицами и рядом организаций по всему Ближнему Востоку. И вредоносное ПО, применяемое в новой кампании, имеет сходство с известными образцами Remexi, утверждают исследователи «Лаборатории Касперского».

Этот зловред может выполнять команды удалённо и перехватывать скриншоты, данные браузера (включая учётные данные пользователя), данные авторизации и историю, а также любой набранный текст. Украденные сведения эксфильтруются с помощью легитимного приложения Microsoft Background Intelligent Transfer Service (BITS) – компонента Windows, предназначенного для включения фоновых обновлений. Объединение вредоносного ПО с легитимным кодом помогает злоумышленникам экономить время и ресурсы и усложнять атрибуцию.

«Часто за кампаниями по кибершпионажу стоят высококвалифицированные люди. Анализируя такие инциденты, можно увидеть достаточно продвинутые техники и сложные инструменты. В этом случае злоумышленники используют достаточно простое вредоносное ПО. Безусловно, создано оно самостоятельно, и программисты у них есть. Однако, помимо этих разработок, они «творчески» используют уже существующие легитимные приложения, а не стремятся к сложной самостоятельной разработке. Не нужно считать их любителями, этот подход имеет с точки зрения злоумышленников свои преимущества (скорость разработки, сложность атрибуции), и подобные атаки вполне способны нанести значительный ущерб. Мы призываем организации защищать ценную информацию и системы ото всех видов угроз», – подчеркнул Денис Легезо, антивирусный эксперт «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют обновлённое вредоносное ПО Remexi как Trojan.Win32.Remexi и Trojan.Win32.Agent.

Полная версия отчёта доступна по ссылке https://securelist.com/chafer-used-remexi-malware/89538/.

Для защиты от шпионского вредоносного ПО «Лаборатория Касперского» рекомендует придерживаться ряда правил:

  • используйте проверенное корпоративное решение для защиты от атак и угроз – например, Kaspersky Threat Management and Defense;
  • внедрите инициативы по повышению осведомлённости сотрудников о безопасности – в частности, Kaspersky Security Awareness;
  • предоставьте специалистам по информационной безопасности доступ к сервисам информирования об угрозах.

За более подробной информацией о сервисах информирования об угрозах «Лаборатории Касперского» обращайтесь по адресу intelreports@kaspersky.com.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку