pro100lev

Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру

Apollon
Оффлайн

Apollon

Заблокирован
Регистрация
07.09.17
Сообщения
5.309
Реакции
1.010
Репутация
1.625
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach

Эксперты компании Symantecраскрылиподробности о деятельности киберпреступной группировки Gallmaker, атакующей правительственные и военные организации по всему миру с целью кибершпионажа. Примечательно, злоумышленники не используют вредоносное ПО для перехвата контроля над системами жертв – в атаках применяются легитимные инструменты, например, фреймворк Metasploit и оболочка PowerShell.

Группировка активна по меньшей мере с декабря 2017 года. Список ее жертв включает ряд зарубежных посольств одной из стран Восточной Европы (о каком государстве идет речь, не раскрывается) и несколько военных структур в странах Среднего Востока. Специалисты не могут с уверенностью сказать, спонсируется ли Gallmaker каким-либо правительством, но отмечают, что за операциями стоит «весьма компетентная организация».

В ходе атак злоумышленники рассылают фишинговыеписьма с документами на правительственную, военную или дипломатическую тематику. Для компрометации систем жертвы злоумышленники эксплуатируют функцию Dynamic Data Exchange (DDE) в приложении Word. Протокол DDE применяется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. В минувшем году компания Microsoftвыпустилаобновление, отключающее функционал в Word и Excel.

Вместо вредоносного ПО группировка Gallmaker применяет различные легитимные процессы и инструменты, доступные в интернете или включенные в состав Windows. К примеру функция WindowsRoamingToolsTask используется для планирования задач и скриптов PowerShell, а с помощью инструмента Metasploit злоумышленники обфусцируют шелл-код, исполняемый из PowerShell. Для связи с управляющим сервером и выполнения команд участники группы используют официальную версию архиватора WinZip, а также применяют библиотеку Rex PowerShell для создания и манипуляции скриптами PowerShell. По завершении атакующие удаляют инструменты с компьютера жертвы, чтобы замести следы.

По данным Symantec, в период с декабря 2017 года по июнь 2018 года злоумышленники провели 20 атак, насколько они оказались успешными, специалисты выяснить не смогли.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу