В конце июля эксперты «Лаборатории Касперского» обнаружили серию сложных целевых атак на российские ИТ-компании и государственные организации. Кампания, получившая название EastWind, была направлена на кражу служебной информации, и злоумышленники использовали «Живой Журнал» в качестве первоначального командного сервера.
Атаки начинались с того, что злоумышленники рассылали целям письма с RAR-архивами во вложении. Внутри этих архивов находились вредоносные ярлыки, замаскированные под документы. При нажатии на ярлыки использовалась классическая техника DLL sideloading, и начиналась установка трояна, взаимодействующего с атакующими через Dropbox.
После проникновения в сеть организации хакеры запускали на зараженных машинах малварь, предназначенную для кибершпионажа. Одним из вредоносов оказалась обновленная версия бэкдора CloudSorcerer, о котором исследователи рассказывали в начале июля текущего года.
Исследователи отмечают, что вскоре после публикации об этом бэкдоре злоумышленники усовершенствовали его, добавив в него возможность использования профилей пользователей «Живого Журнала» и сайта вопросов и ответов Quora в качестве командного сервера, чтобы тщательнее маскировать активность вредоноса (ранее для этих целей использовался GitHub).
Помимо CloudSorcerer, на компьютеры жертв также загружались вредоносные инструменты, используемые китайскими хак-группами APT27 и APT31. Эта малварь обладает обширной функциональностью: позволяют осуществлять кражу файлов, наблюдать за действиями на экране и перехватывать нажатия клавиш на зараженных устройствах.
«Это является признаком того, что данные группы работают совместно, активно обмениваются знаниями и инструментами для атак. Как показывает практика, подобное взаимодействие позволяет продвинутым злоумышленникам работать более эффективно», — комментирует специалист Kaspersky GReAT, Георгий Кучерин.