В ходе операции BugDrop компрометации подверглись по меньшей мере 70 организаций.
Эксперты компании CyberX, специализирующейся на кибербезопасности, обнаружили новую кампанию по кибершпионажу, направленную на российские и украинские организации. В рамках кампании, получившей название Operation BugDrop, злоумышленники инфицируют целевые системы вредоносным ПО, предназначенным для извлечения данных и слежки за деятельностью жертв.
Согласно докладу CyberX, компрометации подверглись по меньшей мере 70 организаций, в числе которых объекты критической инфраструктуры Украины, медиакомпании и научно-исследовательские центры. В числе жертв также оказались ряд организаций из Саудовской Аравии и Австрии.
Как полагают исследователи, кибергруппировка обладает значительными кадровыми и финансовыми ресурсами и, возможно, спонсируется каким-либо правительством.
В атаках злоумышленники используют вредоносное ПО, способное делать снимки экрана, записывать аудио, собирать информацию о системе (версия ОС, имя пользователя, IP-адрес, MAC-адрес, используемый антивирус), а также похищать документы и пароли. Вредонос распространяется посредством фишинговых писем, содержащих вложения в виде документа Microsoft Office с вредоносным макросом. При открытии документа запускается вредоносный скрипт VBScript и отображается диалоговое окно с текстом на украинском языке, хотя оригинальный язык документа - русский.
Эксперты также отметили сходство применяемых в BugDrop техник с кампаний Groundbait, обнаруженной аналитиками ESET в мае 2016 года. Однако в отличие от последней, организаторы BugDrop применяют более сложные методы для сокрытия своей деятельности. В частности, злоумышленники используют Dropbox и бесплатные хостинги для поддержания анонимности и шифрования похищенных данных. Кроме того, применяется техника Reflective DLL-injection (рефлексивная/отраженная DLL-инъекция) для обхода процедур верификации Windows API.
Храним важное в надежном месте