Исследователи Trend Micro обнаружили еще одну крупномасштабную серию целевых
атак, которая привела к взлому почти 1 500 компьютеров в 61 стране.

Атака под названием "Lurid" отличается от похожих операций, таких как Aurora
и Night Dragon, тем, что жертвы находятся преимущественно в России, Казахстане и
Украине, а также в других странах бывшего СССР.

По словам Рика Фергюсона, директора по безопасности компания, Trend Micro
идентифицировала 47 жертв с 1 465 взломанными компьютерами, включая
дипломатические представительства, министерства и правительственные учреждения.

"Эта специфическая кампания включала в себя более 300 вредоносных целевых
атак, управляемых взломщиками, которые использовали уникальный идентификатор,
встроенный во вредоносные программы", — написал он в исследовании.

"В общем, взломщики использовали сеть управления [C&C] из 15 доменных имён и
10 активных IP-адресов, чтобы поддерживать постоянный контроль над 1 465
жертвами".

"Загрузчик Lurid – это часть Enfal, которым в прошлом пользовались для атаки
правительства США и неправительственных организаций, хотя это и не общедоступный
набор инструментов", — объяснил Фергюсон.

Атака Lurid, отслеженная Trend Micro, действует в стиле
APT (advanced
persistent threats). Она использует различные эксплойты для Adobe Reader и
"архивы RAR, содержащие вредоносные скринсейверы" с целью внедрения вредоносных
программ, которые связывают пораженную систему с сетью командных серверов.

"Взломщики не всегда полагаются на zero-day эксплойты, а достаточно часто
используют более старые, надёжные эксплойты и сохраняют эксплойты нулевого дня
для более сложных целей", — сообщил Фергюсон.

"В данной кампании мы не обнаружили эксплойтов нулевого дня, но обнаружили
несколько ссылок на использование таких эксплойтов".

"Более того, Lurid поддерживает живучесть на инфицированных системах
устанавливаясь как сервис Windows, или копируясь в системную папку и меняя
обычную папку запуска на специальную, созданную ей", — объяснил Фергюсон.

Хакеры использовали вредоносные программы, чтобы воровать данные и посылать
их на свои сервера, а также для передачи команд на инфицированные компьютеры.

"Эти команды позволяют злоумышленникам посылать и получать файлы, а также
активировать удалённую оболочку на взломанных системах", — сказал Фергюсон.

"По-прежнему остаётся тайной происхождение взломщиков, учитывая, что
IP-адреса и доменные имена могут использоваться, чтобы ввести в заблуждение
исследователей", — сказал Фергюсон.



Оставить мнение