Глобальная кибершпионская операция Sharpshooter оказалась намного масштабнее и сложнее, чем считалось ранее. К такому выводу пришли исследователи по результатам подробного анализа кода и других данных, полученных с C&C-сервера, используемого злоумышленниками. Оказалось, что Sharpshooter длится намного дольше и затрагивает гораздо больше организаций, чем сообщалось ранее.
По данным экспертов, киберпреступники используют ранее неизвестный фреймворк для заражения сетей организаций оборонного сектора и критической инфраструктуры. Согласно первоначальному отчету McAfee, атаки начались 25 октября 2018 года и затронули 87 организаций (50% из них – компании в США).
Однако, как сообщили исследователи на конференции RSA Conference 2019, проходившей на прошлых выходных в Сан-Франциско, на самом деле и сроки кампании и число затронутых организаций на порядки выше. По уточненным после выявления еще нескольких C&C-серверов данным, Sharpshooter стартовала в районе сентябре 2017 года и затронула куда больше компаний, чем сообщалось ранее, в том числе в Германии, Великобритании, Турции и США.
В настоящее время злоумышленники все еще аткивны. Атака начинается с получения жертвой через Dropbox документа с вредоносными макросами. После активации макросов в память Microsoft Word загружается встроенный shell-код, играющий роль загрузчика для ПО второго этапа. В качестве ПО второго этапа злоумышленники используют модульный бэкдор Rising Sun.
АКБ напоминает: все началось с того, что в конце прошлого года эксперты McAfee обнаружили новую мощную хакерскую атаку, направленная на оборонную, ядерную и финансовую инфраструктуры, а также сферу телекоммуникаций и высоких технологий по всему миру. С октября злоумышленники Sharpshooter атаковали 87 организаций в 24 странах в Южной Америке, Европе, на Ближнем Востоке, в Индии, Австралии и Японии. Есть подозрение, что за атакой стоят северокорейцы Lazarus, но доказано это до сих пор не было.