Шкідливий бекдор атакує дипломатичні місії і держустанови

2 хвилини
Шкідливий бекдор атакує дипломатичні місії і держустанови

Компанія Eset виявила нове сімейство шкідливого ПО, пов'язаного з групою кіберзлочинців Ke3chang, а також невідомого раніше бекдора. Він отримав назву Okrum, вперше був виявлений в 2016 р і залишався активним в 2017 р Шкідлива програма використовувалася для атак на дипломатичні місії та державні установи в Бельгії, Словаччини, Бразилії, Чилі та Гватемалі. Варто зазначити, що фахівці Eset спостерігали за діяльністю групи Ke3chang вже кілька років. Пише https://ko.com.ua/v .

Раніше фахівці ESET виявляли діяльність бекдора Ketrican в декількох європейських країнах. Більшість атак були спрямовані на цілі в Словаччині, Хорватії та Чехії. Аналізуючи це шкідливе програмне забезпечення, дослідники ESET виявили, що воно пов'язане з групою Ke3chang.

Дослідження Eset доводять, що Okrum теж належить групі кіберзлочинців Ke3chang. Крім схожих цілей, Okrum має і подібний Ke3chang спосіб поширення. Наприклад, новий бекдор має лише базовими командами і використовує ручне введення shell-команд і виконання зовнішніх інструментів для більшості дій. Аналогічний механізм роботи використовує і група Ke3chang в своїх кампаніях.

ежденія "src =" https://ko.com.ua/files/u125/eset-ke3chang.png "title =" Шкідливий бекдор атакує дипломатичні місії і держустанови ">

Незважаючи на те, що виявлені шкідливі програми не є технічно складними, фахівці ESET виявили, що оператори Okrum намагалися залишитися непоміченими. Зокрема, компонент бекдора прихований в файлі PNG. При відкритті файлу в програмі для перегляду зображень користувачеві буде надіслано зображення PNG, однак завантажувачі Okrum можуть відкривати додатковий зашифрований файл, який користувач не може побачити.

Крім того, оператори шкідливого ПО намагалися приховати шкідливий трафік з його командним сервером в межах звичайного мережевого трафіку, зареєструвавши, здавалося б, легітимні доменні імена.



Читайте также