Операторы кампании DNSpionage вооружились новым вредоносным ПО

Операторы кампании DNSpionage вооружились новым вредоносным ПО

Стоящие за операцией DNSpionage киберпреступники существенно усовершенствовали свою тактику.

Киберпреступная группировка, стоящая за операцией DNSpionage, стала более избирательной в выборе жертв и вооружилась новым вредоносным ПО Karkoff в целях повышения эффективности своих кибератак.

По данным FireEye, кампания DNSpionage началась в конце 2017 года, и стоят за ней киберпреступники, действующие в интересах правительства Ирана. В прошлых атаках с помощью поддельных сайтов и взломов DNS злоумышленники перенаправляли трафик с легитимных доменов на вредоносные, для которых использовали бесплатные цифровые сертификаты Let's Encrypt.

Теперь же группировка вооружилась новым инструментом для удаленного администрирования с поддержкой связи с C&C-сервером через HTTP и DNS, сообщают исследователи Cisco Talos. С выхода первого отчета Cisco Talos о DNSpionage в конце 2018 года киберпреступники усовершенствовали свою тактику, добавив в нее дополнительный «разведывательный» этап. С его помощью им удается обходить обнаружение и создавать цифровые отпечатки атакуемой системы.

Своих жертв злоумышленники отбирают очень тщательно и атакуют их с помощью целенаправленного фишинга. Они рассылают жертвам электронные письма со вложенными документами Microsoft Word и Excel, содержащими вредоносные макросы. Во время выполнения через макросы вредоносное ПО переименовывается в «taskwin32.exe», и создается запланированная задача «onedrive updater v10.12.5» для сохранения персистентности вредоноса на системе.

В этом месяце исследователи впервые обнаружили в арсенале группировки вредоносное ПО на .Net под названием Karkoff. По их словам, вредонос является «легковесным» и требует удаленного выполнения через C&C-сервер. Тем не менее, у Karkoff есть интересный элемент. Вредонос генерирует файл журнала, где хранятся выполненные команды с временными метками. То есть, с его помощью жертвы Karkoff смогут проверять, что именно и где произошло.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!