Компания Symantec описала многолетнюю кибератаку, нацеленную на русскоязычных пользователей ПК. Хотя атака ведется устаревшими методами, хакерам, видимо, удается достигать своих целей.

Эксперты антивирусного производителя Symantec опубликовали в блоге компании описание деятельности хакерской группы, названной ими Scarab («Скарабей»), которая с 2012 г. проводит странную атаку на русскоязычных пользователей.

Главная странность кибератак «Скарабеев» – использование устаревших методов работы. Для атаки на целевые системы хакеры применяют устаревшие эксплойты, которые, как правило, к нынешнему моменту уже закрыты производителями ПО. В качестве агента заражения «Скарабеи» также используют устаревший инструмент: почтовую рассылку с инфицированным трояном файлом Microsoft Word, сжатым в архив RAR.

Другой специфической чертой атаки Scarab эксперты Symantec называют ее точную нацеленность. В отличие от обычной практики, когда атакам подвергаются группы компьютеров и локальные сети в компаниях и госорганах, в случае со «Скарабеем» хакеры нападают не более, чем на 10 уникальных ПК в месяц. Никаких признаков, что через них заражаются их соседи по локальной сети, нет.

Несмотря на то, что группа «Скарабей» для проникновения на чужие компьютеры использует старые и даже ликивидированные эксплойты, их атаки продолжаются уже несколько лет. Эксперты Symantec замечают, что, несмотря на все странности и недочеты в организации кампании, хакерской группировке, видимо, удается успешно решать свои задачи по проникновению в целевые ПК.

Для заражения компьютеров своих жертв «Скарабеи» применяют троян, который в номенклатуре Symantec называется Trojan.Scieron и Trojan.Scieron B. Заражение происходит путем рассылки писем с прикрепленным трояном, который, после запуска может использоваться для установки в систему дополнительного вредоносного ПО. Интересно, что, по свидетельству Symantec, все известные зараженные письма «Скарабеев» были отправлены из почты «Яндекса».

В зараженном ПК троян способен собирать и передавать хозяевам информацию о системе, подгружать дополнительные вредоносные модули и исполнять их, находить в зараженной системе нужные файлы, удалять или перемещать определенные файлы.

Национальная принадлежность «Скарабеев» не установлена, однако, по ряду признаков, они знакомы с китайским языком, пишут эксперты Symantec в блоге компании. Их командные сервера (C&C) расположены, главным образом, в Южной Корее, хотя наблюдались случаи их размещения на территориях других стран.

Авторы блога Symantec не уточняют, по какому признаку хозяева «Скарабея» выбирают своих жертв. Однако, зная темы рассылаемых ими писем с вредоносными вложениями, можно предположить, что все пользователи атакуемых ПК владеют русским языком и интересуются вопросами военной техники.

Источник: cnews.ru

Leave a Reply

Top Яндекс.Метрика