Это скрытое вредоносное ПО оставалось незамеченным в течение пяти лет и предназначалось для правительственных устройств.

Это скрытое вредоносное ПО оставалось незамеченным в течение пяти лет и предназначалось для правительственных устройств.

18 мая 2023 г.

Исследователи в области кибербезопасности обнаружили новые субъекты угроз, нацеленные на государственные, авиационные, образовательные и телекоммуникационные компании.

Отчет из Symantec сообщил, что группа, которую они назвали Lancefly, была замечена с использованием специального фрагмента вредоносного ПО для нацеливания на вышеуказанные организации. Lancefly использует специальный информационный стиллер под названием Merdoor, который, по словам исследователей, циркулирует как минимум с 2018 года. Исследователи обнаружили его в некоторых кампаниях еще в 2020 и 2021 годах, но для этой конкретной кампании вредоносное ПО используется с середины 2022 г. и продолжился в 2023 г.

Эксперты Symantec утверждают, что злоумышленники не забрасывают широкую сеть с помощью Merdoor, а довольно придирчивы к своим целям. «Лишь небольшое количество машин [заражено]», — сказали они.

Вредоносная программа Merdoor

Merdoor поставляется с рядом функций, в том числе с установкой себя в качестве службы, регистрацией клавиш, различными средствами связи с сервером C2 (HTTP, HTTPS, DNS и т. д.) и возможностью прослушивания команд на локальном порту. .

Хотя данные предыдущих кампаний свидетельствуют о том, что Lancefly использует классические методы фишинга для распространения бэкдора по адресу конечные точки, для этой конкретной кампании вектор заражения не был ясен, говорят исследователи. В одном случае злоумышленники, похоже, использовали перебор SSH. В другом случае для доступа мог быть использован балансировщик нагрузки.

«Хотя доказательства существования любого из этих векторов заражения не являются окончательными, похоже, что Lancefly легко адаптируется, когда дело доходит до типа переносчики инфекции, которые он использует», — заключили исследователи.

Подробнее

> Китайский киберпреступный синдикат удваивает усилия по шпионажу

> Китайские хакеры устраивали беспорядки на незащищенных устройствах Windows

> Познакомьтесь с лучшими средствами защиты от программ-вымогателей прямо сейчас >

Идентификация группы остается загадкой, хотя исследователи предположили, что это могут быть китайцы. В своих кампаниях Lancefly использует руткит ZXSHell, который подписан сертификатом «Wemade Entertainment Co. Ltd». Этот сертификат связан с Blackfly (AKA APT41), китайским злоумышленником. Однако эта группа известна тем, что делится своими сертификатами с другими злоумышленниками.

Где бы ни была группа, одно можно сказать наверняка: цель ее кампании — шпионаж и сбор разведданных.

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE

COPYRIGHT 2020 COFFEE-WEB.RU