Большой передел мира
267,065,101
522,278
|
DeC ( Профессионал ) |
| 31 июл 2021 13:55:31 |
Портько!
новая дискуссия Дискуссия 284
Американские исследователи из Malwarebytes нашли интересную приманку, посвященную протестной активности в Крыму. В приманке, соответственно, сидит троян.
Отчет получился прямо смешной.
Сначала о сути - обнаружена приманка в виде документа на русском и английском Manifest.docx, содержащем протестное программное заявление группы крымских граждан. Помимо заявления в документе содержится два вектора заражения VBA RAT (Remote Access Trojan) - один посредством макросов, а второй с эксплуатацией уязвимости CVE-2021-26411 в IE. Эту уязвимость использовали северокорейские хакеры из APT Lazarus, когда зимой атаковали исследователей безопасности.
Используемый хакерами RAT - такой себе стандартный RAT, со всем необходимым функционалом: сбор информации о системе, работа с файлами, эксфильтрация собранных данных, выполнение полученного от управляющего центра шелл-кода.
Теперь о забавном.
Во-первых, текст приманки представляет собой манифест некой группы жителей Крыма на русском и английском языках, в котором содержатся критические отзывы о политике Путина на полуострове и объявляется о создании "Народного сопротивления". Подписано это инициативной группой граждан под предводительством Андрея Сергеевича Портько. Исследователи из Malwarebytes отдельно это подчеркивают - "вот, мол, группа, связанная с Андреем Сергеевичем Портько".
Мы подумали было, что это какой-то известный политик, про которого мы не слышали раньше, будучи далеки от политической повестки. Однако оказалось, что Google тоже не слышал про Андрея Сергеевича Портько. Видимо Андрей Сергеевич Портько очень секретен, поэтому нам стало действительно не по себе.
Во-вторых, исследователи нашли принадлежащую атакующим панель, на которой содержатся данные об успешно взломанных жертвах. Панель называется Ekipa. Мы бы расшифровали это как "Эквип", то бишь "снаряга". Но Malwarebytes решили, что это означает "команда" и мы сначала подумали, что они перепутали его со словом "экипаж", документ же все-таки ориентирован на русскоязычных жертв, вероятно и атакующие имеют отношение к русскому языку.
Однако все оказалось проще: "ekipa" - это "команда" по-польски. После такого уклончивые заявления Malwarebytes, что они, де, не могут даже приблизительно атрибутировать актора, выглядят нелепо.
Так что скорее всего польские спецслужбы высунули свои кибертентакли и решили поиграть в APT. Целями могут являться как российские, так и украинские пользователи. Полагаем, Польше есть дело и до тех и до других.
Один только вопрос не дает нам покоя. Кто же такой Андрей Сергеевич Портько?
Crimea "manifesto" deploys VBA Rat using double attack vectors - Malwarebytes Labs
Отчет получился прямо смешной.
Сначала о сути - обнаружена приманка в виде документа на русском и английском Manifest.docx, содержащем протестное программное заявление группы крымских граждан. Помимо заявления в документе содержится два вектора заражения VBA RAT (Remote Access Trojan) - один посредством макросов, а второй с эксплуатацией уязвимости CVE-2021-26411 в IE. Эту уязвимость использовали северокорейские хакеры из APT Lazarus, когда зимой атаковали исследователей безопасности.
Используемый хакерами RAT - такой себе стандартный RAT, со всем необходимым функционалом: сбор информации о системе, работа с файлами, эксфильтрация собранных данных, выполнение полученного от управляющего центра шелл-кода.
Теперь о забавном.
Во-первых, текст приманки представляет собой манифест некой группы жителей Крыма на русском и английском языках, в котором содержатся критические отзывы о политике Путина на полуострове и объявляется о создании "Народного сопротивления". Подписано это инициативной группой граждан под предводительством Андрея Сергеевича Портько. Исследователи из Malwarebytes отдельно это подчеркивают - "вот, мол, группа, связанная с Андреем Сергеевичем Портько".
Мы подумали было, что это какой-то известный политик, про которого мы не слышали раньше, будучи далеки от политической повестки. Однако оказалось, что Google тоже не слышал про Андрея Сергеевича Портько. Видимо Андрей Сергеевич Портько очень секретен, поэтому нам стало действительно не по себе.
Во-вторых, исследователи нашли принадлежащую атакующим панель, на которой содержатся данные об успешно взломанных жертвах. Панель называется Ekipa. Мы бы расшифровали это как "Эквип", то бишь "снаряга". Но Malwarebytes решили, что это означает "команда" и мы сначала подумали, что они перепутали его со словом "экипаж", документ же все-таки ориентирован на русскоязычных жертв, вероятно и атакующие имеют отношение к русскому языку.
Однако все оказалось проще: "ekipa" - это "команда" по-польски. После такого уклончивые заявления Malwarebytes, что они, де, не могут даже приблизительно атрибутировать актора, выглядят нелепо.
Так что скорее всего польские спецслужбы высунули свои кибертентакли и решили поиграть в APT. Целями могут являться как российские, так и украинские пользователи. Полагаем, Польше есть дело и до тех и до других.
Один только вопрос не дает нам покоя. Кто же такой Андрей Сергеевич Портько?
Crimea "manifesto" deploys VBA Rat using double attack vectors - Malwarebytes Labs
ОТВЕТЫ (0)
Комментарии не найдены!