Группировка SowBug тайно атаковала дипломатов в течение двух лет
ЕРЕВАН, 9 ноября. /АРКА/. Исследователи безопасности из компании Symantec опубликовали отчет о деятельности хакерской группировки SowBug, действующей по меньше мере с 2015 года и совершившей серию кибератак, нацеленных на ряд правительственных организаций в Южной Америке и Юго-Восточной Азии.
Как сообщает securitylab.ru, по словам исследователей, группировка осуществляла скрытые атаки на дипломатов и государственные учреждения в Аргентине, Бразилии, Эквадоре, Перу и Малайзии. В ходе атак хакеры использовали вредоносное ПО, получившее название Felisimus.
Felisimus, впервые обнаруженное в марте 2017 года, представляет собой сложный троян для удаленного доступа (remote access Trojan, RAT) с модульной конструкцией, позволяющей расширять его функционал.
С помощью данного вредоносного ПО злоумышленники могут полностью контролировать инфицированную систему, отправлять команды с удаленного сервера, загружать файлы и выполнять произвольные команды.
Анализируя Felismus, исследователи смогли связать атаки с группировкой Sowbug, отметив, что последняя проявляла активность по меньшей мере с начала 2015 года, а возможно и раньше.
«В настоящее время Sowbug сосредоточена главным образом на правительственных структурах в странах Южной Америки и Юго-Восточной Азии, в частности на ряде организаций в Аргентине, Бразилии, Эквадоре, Перу, Брунее и Малайзии. Группировка располагает большим количеством ресурсов, способна одновременно атаковать несколько целей и часто работает вне рабочего времени целевых организаций», - говорится в отчете.
До сих пор неизвестно, как именно хакерам удалось проникнуть в компьютерные сети, однако собранные исследователями материалы позволяют предположить, что группировка использовала поддельные обновления программного обеспечения для ОС Windows или Adobe Reader.
Специалисты также обнаружили, что SowBug использовала инструмент под названием Starloader для доставки дополнительного вредоносного ПО, например, инструментов для извлечения учетных данных и кейлогеров, в целевые сети. По словам экспертов, файлы Starloader распространялись под видом обновлений программного обеспечения под названием AdobeUpdate.exe, AcrobatUpdate.exe и INTELUPDATE.EXE.
Вместо компрометации самого программного обеспечения, Sowbug дает вредоносным файлам похожие названия и помещает их в директории, которые могут быть ошибочно приняты за каталоги, использующиеся легитимным ПО. Данная уловка позволяет хакерам оставаться незаметными, отмечают исследователи. В одном из случаев группировка оставалась незамеченной в сети целевой организации в течение шести месяцев в период с сентября 2016 года по март 2017 года.
Помимо того, что SowBug использует вредоносное ПО Felisimus, никакой другой информации о группировке нет. -0-
Читайте новости первыми и обсуждайте их — в нашем Telegram
11:23 09.11.2017
