"Лаборатория Касперского" выявила новую целевую кибератаку на российские госструктуры
На модерации
Отложенный
РИА Новости. "Лаборатория Касперского" в мае обнаружила новую целевую кибератаку CloudSorcerer, направленную на взлом российских госструктур, сообщили РИА Новости в компании.
"В мае 2024 года эксперты Глобального центра исследований и анализа угроз "Лаборатории Касперского" (GReAT) выявили кампанию кибершпионажа, нацеленную на российские государственные организации. Она получила название CloudSorcerer. Атакующие использовали сложный инструмент, который обращается к облачным сервисам и Github в качестве командно-контрольных серверов", - сообщили в компании.
В "Лаборатории Касперского" отметили, что методы злоумышленников CloudSorcerer схожи с кампанией CloudWizard, обнаруженной экспертами в прошлом году. Однако код вредоносного программного обеспечения (ПО) иной. Так, за новой атакой, вероятнее всего, стоит другая кибергруппа, применившая аналогичный метод взаимодействия с публичными облачными службами.
При этом код вредоносного ПО написан "качественно и без ошибок", а доступ к облачным сервисам, например Dropboх, злоумышленники получают через API с помощью токенов аутентификации.
Там объяснили, что сначала злоумышленники вручную разворачивают вредоносное ПО на зараженном устройстве. После запуска CloudSorcerer адаптирует свои возможности, исходя из настроек системы. Затем вредоносная программа активирует различные функции, в том числе сбор, копирование, удаление данных, инициирование модуля связи с командным сервером и не только.
"CloudSorcerer применяет оригинальные методы обфускации (процесс приведения исходного кода программы к виду, который сохраняет ее функциональность, но затрудняет анализ - ред.) и шифрования, чтобы избежать обнаружения. Вредоносное ПО декодирует команды с помощью жестко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM (Component Object Model - ред.) для выполнения атак", - поделились в компании, добавив, что продолжают отслеживать и анализировать деятельность кибергруппы.
Комментарии