Компания ESET обнаружили новую кибершпионскую кампанию, нацеленную на госучреждения Украины.
Как отмечает SecurityLab, злоумышленники заражают компьютеры жертв вредоносным ПО для хищения данных и аудиозаписи разговоров. Для этого используется троян для удаленного доступа Vermin и еще два вредоноса – Sobaken и Quasar, последний из которых является ПО с открытым исходным кодом.
Вредоносное программногое обеспечение распространяется посредством фишинговых писем и уже заразило компьютерные сети множества украинских госучреждений. По словам специалистов, данная кампания активна по меньшей мере с октября 2015 года.
Vermin является наиболее мощным из трех вредоносов. Помимо выполнения стандартных задач, таких как мониторинг происходящего на экране, загрузка дополнительной полезной нагрузки и файлов, он также содержит набор дополнительных функций, позволяющих полностью скомпрометировать устройство жертвы. В частности, он может включать запись звука, похищать пароли и считывать нажатия клавиш.
Помимо этого, атакующие используют трояны Quasar и Sobaken. Quasar представляет собой вредоносное ПО с открытым исходным кодом, оснащенное набором команд для слежки и хищения данных из зараженной системы. Sobaken – модифицированная версия Quasar, в которой отсутствуют некоторые функции, однако, ее исполняемый файл меньшего размера, а следовательно, ее легче скрыть.
Вредоносная программа самостоятельно удалится, если раскладка клавиатуры жертвы не является русской или украинской, либо если если IP-адрес устройства не российский или украинский. В настоящее время неясно, кто именно стоит за атаками. Несмотря на то, что атакующие не обладают серьезными навыками и не имеют доступ к неизвестным уязвимостям нулевого дня, они довольно успешно используют социальную инженерию для распространения вредоносного ПО и сокрытия своей деятельности в течение длительного периода времени, отметили исследователи.
Ранее российские хакеры атаковали немецкие СМИ и химпредприятия.
