«Касперский» обнаружил хакерскую атаку на Крым с помощью «мощной магии»
В ДНР, ЛНР и Крыму с 2021 года продолжается кампания кибершпионажа, направленная на правительственные, сельскохозяйственные и транспортные организации, сообщили РБК в «Лаборатории Касперского». В ней используется ранее не известная специалистам по кибербезопасности вредоносная программа, получившая название CommonMagic.
Предположительно, атака начинается с рассылки целевых фишинговых писем по электронной почте. Они поступают жертвам от имени госорганизаций. При нажатии на ссылку жертва скачивает с вредоносного веб-сервера ZIP-архив, в котором содержатся два файла. Первый — безвредный документ-приманка (в формате PDF, XLSX или DOCX), второй — вредоносный LNK-файл с двойным расширением (например,.pdf.lnk).
Если скачать архив и нажать на ярлык, на устройство проникает бэкдор PowerMagic. Она получает команды из удаленной папки, расположенной в публичном облаке, выполняет их и затем загружает результаты исполнения файлов обратно в облако. PowerMagic внедряется в систему и остается в ней даже после перезагрузки зараженного устройства. Также ее используют для развертывания вредоносной платформы CommonMagic, которая состоит из нескольких модулей. Например, она может красть файлы с USB-устройств, а также делать скриншоты каждые три секунды и отправлять их атакующим.
«Мы следим за этой кампанией. Примечательны в ней не вредоносное ПО и техники — они не самые хитроумные, — а то, что в качестве командно-контрольной инфраструктуры используется облачное хранилище. Мы продолжим исследовать эту угрозу и, надеюсь, сможем позднее рассказать о CommonMagic больше», — отметил Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского».
Компания Swordfish Security в октябре прогнозировала, что число кибератак на российские компании в 2023 году увеличится как минимум на 50%. Новым фактором угрозы эксперты называли использование хакерами технологий машинного обучения.
Регулярные DDoS-атаки на российские ресурсы, в том числе органов власти и СМИ, стали активно вестись после 24 февраля, дня начала военных действий на Украине. Так, масштабная атака на сервисы электронного документооборота была совершена 1 сентября.
