Исследование направленной атаки
Недавно мы проанализировали четыре вредоносных инструмента, которые использовались в направленных атаках на пользователей Тайваня и Вьетнама. С использованием нашей системы телеметрии мы зафиксировали, что это вредоносное ПО доставлялось пользователям через кампании по распространению фишинговых сообщений. Один из файлов вредоносной программы был доставлен в систему пользователя через почтовый веб-интерфейс вьетнамского государственного учреждения. Злоумышленники использовали специальные фишинговые почтовые сообщений, которые содержали убедительный текст, а также специальные фальшивые документов для заманивания пользователя и усиления эффекта атаки. По результатам этого исследования нам удалось установить следующие факты: Один и тот же компонент вредоносного кода несколько раз использовался в этих кампаниях. Атаки требовали ручного вмешательства злоумышленника (оператор). В атаках обнаружены следы известной группы APT1 (aka Comment crew). Для первоначального вектора атаки, т. е. для установки вредоносного кода, использовались фишинговые сообщения, которые якобы содержали важные документы. Плохая подготовка злоумышленников: опечатки в конфигурации, наивная реализация криптографических алгоритмов, недостаточная практика в написании кода. Вредоносные программы с четко заданным поведением: одна из угроз не сохраняет свое присутствие после перезагрузки, а другая не делает никаких вредоносных функций до перезагрузки. Читать дальше →