Теневые брокеры и темная вселенная: «Лаборатория Касперского» нашла нечто странное

Опубликовано at 19:13
46 0

«Лаборатория Касперского» опубликовала материал о том, как архив одной из резонанснейших хакерских группировок Shadow Brokers вывел на след еще одной, уж совсем загадочной группировки DarkUniverse

Про нее толком ничего не известно, но предполагается, что DarkUniverse может иметь отношение к вредоносным кампаниям ItaDuke.

The Shadow Brokers — хакерская группировка, о которой впервые стало известно летом 2016 года. Группа известна взломами информационных систем Агентства национальной безопасности США (АНБ), кражей информации, последующей продажей и опубликованием её в общий доступ. В частности, в 2017 году группой была украдена у АНБ документация о найденных уязвимостях в Server Message Block (SMB), которой подвержены компьютеры, работающие на основе операционной системы Windows, а также эксплойты для эксплуатации этих уязвимостей. Впоследствии опубликованные уязвимости были использованы неизвестными лицами для создания сетевого червя-вымогателя WannaCry и проведения одной из масштабнейших кибератак.

В 2017 году киберпреступная группировка The ShadowBrokers обнародовала архив с вредоносным ПО и хакерскими инструментами, похищенными у группировки Equation Group, которую эксперты в области кибербезопасности связывают с Агентством национальной безопасности США. Данный архив, помимо прочего, содержал скрипт, позволивший выйти на след некой APT группы, получившей название DarkUniverse.

По данным специалистов «Лаборатории Касперского», группировка была активна в течение как минимум восьми лет — с 2009-го по 2017-й годы. Эксперты полагают , что DarkUniverse может иметь отношение к вредоносным кампаниям ItaDuke, в рамках которых эксплойты нулевого дня для уязвимостей в PDF-документах использовались для загрузки вредоносных программ, а учетные записи Twitter — для хранения URL-адресов C&C-сервера.

По мнению экспертов, группировка DarkUniverse распространяла вредоносное ПО методом «целевого фишинга». Для каждой жертвы формировалось отдельное письмо с целью привлечь ее внимание и заставить открыть вложенный вредоносный документ Microsoft Office.

Каждый образец вредоносного ПО был скомпилирован непосредственно перед отправкой и содержал последнюю доступную версию исполняемого файла вредоносного ПО. Более подробно о его устройстве можно прочитать на странице ЛК.

Читайте также на АКБ:

Громкий омут: новая загадочная группировка MuddyWater крадет данные по всему миру

Подписываемся, следим @CyberAgency

Related Post