707
Хакеры используют для атак новые вредоносные программы-импланты
Кампании нацелены на организации из Латинской Америки и Центральной Африки. Подробности представлены в отчёте по APT-атакам за первый квартал 2024 года.
APT-группа Careto известна крайне изощрёнными атаками, направленными в первую очередь на государственные, дипломатические и научно-исследовательские организации, а также на энергетические компании. Она была активна с 2007 по 2013 год, после чего информация о её деятельности не появлялась.
Атака начиналась с компрометации сервера электронной почты, работающего на основе программного обеспечения MDaemon. После этого злоумышленники заражали сервер специальным бэкдором, позволяющим получить контроль над сетью. Для дальнейшего проникновения вредоносного ПО во внутреннюю сеть атакующие использовали ранее не обнаруженную ошибку в компоненте защитного решения одного из производителей: она позволяла скрытно распространять вредоносные импланты на множество устройств. Речь идёт о четырёх сложных многомодульных имплантах с множеством функций.
Обнаруженное вредоносное ПО способно записывать звук микрофона, а также выполнять роль файлового стилера: собирать данные о системной конфигурации, логинах и паролях, путях к каталогам на локальном устройстве и другую информацию. Особый интерес злоумышленников представляли конфиденциальные документы организаций, данные для автозаполнения форм, учётные данные в браузерах Edge, Chrome, Firefox и Opera, а также cookie-файлы мессенджеров Threema, WeChat и WhatsApp.
«На протяжении многих лет группа Careto разрабатывает вредоносное ПО высокого уровня сложности. Недавно обнаруженные импланты представляют собой многомодульные фреймворки с применением уникальных и изощрённых методов и тактик развёртывания. Они указывают на продвинутый характер атак Careto. Мы продолжим внимательно следить за активностью злоумышленников и предполагаем, что обнаруженное вредоносное ПО будут продолжать использовать для новых атак», — комментирует Георгий Кучерин, исследователь угроз информационной безопасности Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского».
Исследователи «Лаборатории Касперского» постоянно обнаруживают новые кампании, инструменты и методы, используемые APT-группами в рамках кибератак по всему миру. Эксперты уже отследили более 900 кампаний и групп, 90% из которых связаны со шпионажем.
