FireEye: Группа российских хакеров прячет вредоносную активность внутри легитимного трафика

FireEye: Группа российских хакеров прячет вредоносную активность внутри легитимного трафика

Высококвалифицированные хакеры используют сложный инструмент HAMMERTOSS.

Как сообщается в отчете компании FireEye, группа высококвалифицированных российских хакеров применяет инструмент HAMMERTOSS для сокрытия вредоносной активности внутри трафика легитимных сетей, например, популярных сервисов Twitter, GitHub и облачных хранилищ.

бэкдор HAMMERTOSS был обнаружен исследователями из FireEye в начале текущего года. По словам экспертов, он использовался группой российских хакеров для передачи команд и сбора данных из скомпрометированных систем. Исследователи сообщили, что группа, которую они назвали APT29, является одной из наиболее квалифицированных и умелых, деятельность которых им доводилось отслеживать.

Как пояснили в FireEye, работа HAMMERTOSS осуществляется в несколько этапов. На первом этапе бэкдор использует определенные учетные записи в Twitter, которые созданы с помощью предсказуемого алгоритма и ежедневно меняются. Вредонос ждет публикацию, содержащую хэштег и URL-адрес, с которого загружает изображение. На первый взгляд это изображение кажется обычным, однако в нем скрыты стеганографические данные и дальнейшие инструкции для бэкдора. На последнем этапе HAMMERTOSS использует PowerShell для выполнения команд на скомпрометированном хосте.

Примечательно, что HAMMERTOSS в арсенале APT29 является не часто используемым, а скорее, дополнительным инструментом на случай, если основной будет раскрыт. Эксперты предполагают, что в случае обнаружения злоумышленники модифицируют бэкдор или вовсе прекращают использовать его вариации и создают новое вредоносное ПО.  

Автор: Александр Антипов

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь