Xakep #305. Многошаговые SQL-инъекции
В начале октября эксперты «Лаборатории Касперского» зафиксировали таргетированную атаку на российские организации. Злоумышленники из группировки XDSpy разослали несколько сотен вредоносных писем, якобы касающихся темы частичной мобилизации.
Исследователи пишут, что на первой рабочей неделе октября обнаружили рассылку вредоносных электронных писем. В этих посланиях говорилось, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке.
Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники угрожают жертвам возможными штрафами и уголовной ответственностью.
Ссылка на фальшивую повестку ведет на архив с исполняемым скриптом с расширением WSF. Если открыть файл, он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его.
Отмечается, что используемая малварь и техники имеют множество сходств с инструментами хак-группы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов.
Цели группировки XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.
«В этой кампании используется ряд техник, позволяющих злоумышленникам проникнуть и закрепиться в системе — таргетированные фишинговые рассылки, имитация писем регуляторов, использование актуальной новостной повестки, вывод на экран изображения, которое ожидает пользователь. Это традиционно для XDSpy», — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз «Лаборатории Касперского».