Аналитики «Лаборатории Касперского» выявили более 10 000 финансово мотивированных атак на организации из разных стран мира (включая Россию) в рамках кампании с использованием нескольких типов малвари, о которой ранее сообщало ФБР.
В апреле текущего года ФБР опубликовало отчет об атаках, направленных на государственные и правоохранительные органы, а также некоммерческие организации. В ходе этих атак злоумышленники загружают на устройства жертв скрипты, доставляющие сразу несколько вредоносных программ разных типов. В частности, атакующие пытаются использовать ресурсы компаний для майнинга, крадут данные с помощью кейлоггеров и получают доступ к системам посредством бэкдора.
Исследователи «Лаборатории Касперского» пишут, что обнаруживали различные скрипты, исполняемые файлы и ссылки на них, связанные с этой кампанией, еще в конце 2022 года. Причем новые версии обнаруживаются до сих пор, и угроза для B2B-сектора все еще является актуальной.
По данным телеметрии компании, только с мая по октябрь 2023 года было совершено более 10 000 атак, которые затронули более 200 пользователей. Целью злоумышленников в первую очередь были государственные организации, сельскохозяйственные и торговые предприятия из России, Саудовской Аравии, Вьетнама, Бразилии и Румынии. Также отдельные атаки были зафиксированы в США, Индии, Марокко и Греции.
Эксперты сообщают, что хакеры могут проникать в системы, эксплуатируя уязвимости на серверах и рабочих станциях. Также обнаружилось, что для атак используются новые версии вредоносных скриптов. С их помощью атакующие пытаются обойти Microsoft Defender, а также получить права администратора и помешать работе антивирусных компонентов. Если им это удается, злоумышленники загружают в систему жертвы бэкдор, кейлоггер и майнер с веб-ресурса, который сейчас уже недоступен.
Майнер использует ресурсы системы, чтобы добывать различные криптовалюты, например Monero (XMR). В свою очередь кейлоггер фиксирует, какие клавиши нажимает пользователь на клавиатуре и мыши, а бэкдор устанавливает связь с управляющим сервером для получения и передачи данных и позволяет злоумышленникам получить удаленный контроль над скомпрометированной системой.
«Эта кампания с использованием различного вредоносного ПО быстро развивается, и, как мы видим, появляются новые модификации инструментов для совершения атак. По всей видимости, злоумышленники стремятся извлечь финансовую выгоду любым возможным способом. Как показало наше исследование, цель атак не ограничивается только майнингом криптовалют. Злоумышленники могут красть учетные данные, чтобы затем продавать их в даркнете, или же реализовывать более сложные сценарии, используя возможности бэкдоров», — комментирует Василий Колесников, эксперт по кибербезопасности «Лаборатории Касперского».
