| 27.09.2023 02:00 |
Positive Technologies обнаружили кибергруппировку, атакующую российские предприятия |
МОСКВА, 27 сен - РИА Новости/Прайм. Крупная российская компания по кибербезопасности Positive Technologies обнаружила группировку Dark River, которая атакует российские предприятия с использованием инструментов для шпионажа и кражи конфиденциальной информации, рассказали РИА Новости в компании.
"Новая группировка-оператор опасного ВПО, которую исследователи назвали Dark River, целенаправленно атакует предприятия , инвестируя серьезные финансовые и интеллектуальные ресурсы в развитие своего инструментария. Проработанные на высоком технологичном уровне архитектура и транспортная система позволяют ее бэкдору (программа, которую устанавливает взломщик – ред.) незаметно действовать в скомпрометированной инфраструктуре в течение долгого времени с целью шпионажа и кражи конфиденциальной информации", – рассказали в компании.
Специалисты предполагают, что атака начинается с фишингового письма, которое содержит файл ".docx" – причем содержимое документа выстроено так, что получателю приходится открывать режим редактирования. Вместе с включением этого режима может происходить загрузка ресурса, контролируемого киберпреступниками. Похожие письма рассылались на российские предприятия в августе-сентябре 2022 года.
Бэкдор хорошо маскируется: имена его исполняемых файлов похожи на названия легального ПО, установленного на зараженных машинах, а ряд образцов имеет действительную цифровую подпись. Разработчики скрыли вредоносный код от анализа и детектирования с помощью упаковщиков разных видов, которые сжимают файлы, чтобы максимально усложнить обнаружение зловреда.
"Главная особенность бэкдора MataDoor – в том, что он беспрецедентно сложный по сравнению с тем, что мы видели до этого. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно", – рассказал старший специалист отдела исследования угроз ИБ Positive Technologies Максим Андреев.
Исследователи компании впервые обнаружили такой механизм атаки через MataDoor при расследовании инцидента в прошлом году. В настоящее время известно не более четырех случаев применения MataDoor в кибератаках, все они были нацелены на крупные организации.
При перепечатке и цитировании (полном или частичном) ссылка на РИА "Новости" обязательна. При цитировании в сети Интернет гиперссылка на сайт http://ria.ru обязательна.