Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.453
- Реакции
- 102
- Репутация
- 204
Специалисты ИБ-компании ESET
Spy, оставалась практически незамеченной, за исключением
В основном цельюSpy являются госорганы, включая военные ведомства и министерства внутренних дел, а также частные компании, расположенные в Восточной Европе и на Балканах. Специалисты пока выявили единственный вектор атак, используемый хакерами для компрометации жертв, — целевые фишинговые письма, содержащие как вредоносные вложения, так и ссылки на вредоносные файлы.
При переходе по вредоносной ссылке на компьютер устанавливается вредоносное ПОDown — загрузчик, загружающий дополнительные вредоносные модули, в частности Recon (собирает информацию о целевом устройстве), List (служит для поиска интересных документов, также может делать скриншоты), Monitor (функционирует по аналогии с List) и Upload (извлекает вшитый список файлов из файловой системы и загружает его на управляющий сервер).
Кроме того, с конца июня 2020 года группировка использует эксплоит для уязвимости (
По словам исследователей, используемый в атакахSpy эксплоит имеет схожие характеристики с инструментами, примененными в кампаниях DarkHotel и Operation Domino, однако ESET не обнаружила связи между этими тремя группировками. По всей видимости, они просто пользуются услугами одного и того же брокера эксплоитов, полагают эксперты.
Источник:
You must be registered for see links
информацию о хакерской группировке, которая с 2011 года занималась кражей важной информации у правительств и компаний из стран Восточной Европы и Балканского полуострова. Примечательно, что более девяти лет деятельность группировки, получившей название Spy, оставалась практически незамеченной, за исключением
You must be registered for see links
, выпущенного белорусским CERT в феврале 2020 года.В основном целью
Spy являются госорганы, включая военные ведомства и министерства внутренних дел, а также частные компании, расположенные в Восточной Европе и на Балканах. Специалисты пока выявили единственный вектор атак, используемый хакерами для компрометации жертв, — целевые фишинговые письма, содержащие как вредоносные вложения, так и ссылки на вредоносные файлы.При переходе по вредоносной ссылке на компьютер устанавливается вредоносное ПО
Down — загрузчик, загружающий дополнительные вредоносные модули, в частности Recon (собирает информацию о целевом устройстве), List (служит для поиска интересных документов, также может делать скриншоты), Monitor (функционирует по аналогии с List) и Upload (извлекает вшитый список файлов из файловой системы и загружает его на управляющий сервер).Кроме того, с конца июня 2020 года группировка использует эксплоит для уязвимости (
You must be registered for see links
) в устаревшем JavaScript движке в браузере Internet Explorer. На тот момент PoC-кодов или информации об этой уязвимости в открытом доступе практически не было. Как полагают эксперты, группировка могла либо приобрести эксплоит у брокера, либо создать его самостоятельно. К слову, в начале сентября нынешнего года специалисты ClearSky
You must be registered for see links
вредоносный RTF-файл, загруженный на VirusTotal из Беларуси, эксплуатирующий ту же уязвимость.По словам исследователей, используемый в атаках
Spy эксплоит имеет схожие характеристики с инструментами, примененными в кампаниях DarkHotel и Operation Domino, однако ESET не обнаружила связи между этими тремя группировками. По всей видимости, они просто пользуются услугами одного и того же брокера эксплоитов, полагают эксперты.Источник:
You must be registered for see links