Аналитики компании CyberX рассказали о новой кибершпионской компании, которая получила название BugDrop. Атаки были зафиксированы на территории Украины, России, Саудовской Аравии и Австрии. Суммарно от рук хакеров пострадали уже более 70 компаний и организаций, включая СМИ, научные учреждения и объекты критической инфраструктуры.
Операторы данной шпионской кампании активируют микрофоны, подключенные к компьютерам жертв, записывают все разговоры и всё, что происходит вокруг, а также похищают документы, пароли, делают скриншоты и так далее. Исследователи пишут, что пока неизвестно, кто именно стоит за атаками, но предполагают, что это могут быть так называемые «правительственные хакеры». Суммарно злоумышленники уже похитили более 600 Гб информации.
«Операция BugDrop – это хорошо организованная операция, в которой применяется сложное вредоносное ПО. Судя по всему, за ней стоит некая организация, обладающая значительными ресурсами. В частности, операция требует наличия серьезной back-end инфраструктуры, чтобы каждый день хранить, расшифровывать и анализировать несколько гигабайт неструктурированных данных, похищенных у целей. Кроме того, необходима большая команда аналитиков, которые будут вручную сортировать захваченные данные и обрабатывать их, либо вручную, либо задействовав Big Data-анализ», — пишут эксперты CyberX.
Малварь, которую используют операторы BugDrop, распространяется посредством фишинговых писем с вредоносными документами Microsoft Word. Если пользователь попался на удочку хакеров, открыл документ и разрешил работу макросов, малварь проникает в систему (на фоне запускаются Visual Basic скрипты), загружает дополнительные плагины для хищения данных, а затем вся информация жертвы отправляется в Dropbox злоумышленников. Аналитики пишут, что это весьма умно, так как большинство организаций не сочтут подозрительным Dropbox-трафик. Кроме того, стараясь избежать обнаружения, BugDrop шифрует все установленные DLL.
Еще одной интересной особенностью малвари является использованием техники Reflective DLL Injection. Данную технику ранее использовал вредонос BlackEnergy, атаковавший украинские энергосети в 2015 году, а также червь Stuxnet, в 2010 году нанесший серьезный урон иранской ядерной программе.
С детальным отчетом аналитиков CyberX можно ознакомиться здесь.
Фото: Depositphotos
