"Лаборатория Касперского" сообщила, что с 2012 г. группа DeathStalker занимается кибершпионажем против финансовых и юридических компаний малого и среднего бизнеса, в том числе в России.
"Лаборатория Касперского" с 2018 г. следит за деятельностью группы. DeathStalker заинтересовалась российскими организациями в 2020 году. Тактики, техники и процедуры группы остаются неизменными: заражение происходит через фишинговые письма, содержащие архивы с вредоносными файлами. Когда пользователь нажимает на ярлык, выполняется вредоносный скрипт и загрузка вредоносного ПО, в результате атакующие получают контроль над устройством жертвы. Судя по целям и используемым инструментам, группа специализируется на краже данных, связанных с финансовой деятельностью компаний, трейдингом на различных площадках и инвестициями.
В числе инструментов DeathStalker - вредоносные семейства Powersing, Evilnum и Janicab. Powersing - это имплант на базе PowerShell, функционал которого позволяет делать скриншоты на зараженном устройстве и выполнять скрипты PowerShell. Зловред умеет избегать детектирования защитными решениями: прежде чем начать атаку, злоумышленники проверяют с его помощью, могут ли они тайно выполнять действия в системе, а затем обновляют скрипты в соответствии с результатами проверки. Кроме того, в атаках, которые осуществляют с применением Powersing, посредством известного сервиса в легитимный сетевой трафик внедряется бэкдор, что значительно ослабляет защитные возможности устройства. Далее атакующие размещают в легитимных социальных сетях, сервисах для ведения блогов и мессенджерах так называемые резолверы - зашифрованную информацию о настоящих командных центрах, чтобы иметь возможность быстро и незаметно совершить вредоносные действия. Использование таких распознавателей затрудняет обнаружение настоящего командно-контрольного сервера.
"DeathStalker - это пример сложной атаки, представляющей собой угрозу для небольших частных фирм. Деятельность этой группы ярким образом подтверждает то, что малому и среднему бизнесу нужно инвестировать в защитные решения и тренинги для сотрудников. Учитывая, что цели находятся в разных странах и в основном это финтех-, инвестиционные и юридические компании, то, скорее всего, мы имеем дело с профессиональными кибернаемниками, выполняющими взломы на заказ, - комментирует Юрий Наместников, руководитель российского исследовательского центра "Лаборатории Касперского". - Для противодействия DeathStalker мы рекомендуем организациям по возможности ограничить или отключить возможность использования скриптовых языков, таких как powershell.exe и cscript.exe, а также объяснить сотрудникам на тренингах по кибербезопасности, что вредоносное ПО может передаваться через фишинг, и рассказать, как можно этого избежать".
Последние комментарии
Работать СМАРТС стал хуже технически последние пару лет. Постоянные проблемы со связью. Много раз попадал в неприятные ситуации из-за внезапной потери связи. Причём, в СМАРТС никто извиняться не собирался и не собирается.
к сожалению да... "тонущий"... сам из СМАРТСа ушел когда деньги в российском роуминге "экспроприировали"...
"тонущий" потому что оплатить кредиты СМАРТС не в состоянии, а ввязывается в авантюрный проект... против смартса ничего не имею-работает так же как и все сотовые операторы, на конкурентов не работаю и пользуюсь смартсом более 9 лет, правда только в самарской обл., в москве из-за роуминга можно попасть на кругленькую сумму, а про заграницу нечего и говорить...
Откуда информация от "тонущем" операторе? Работаете на конкурентов? Пользуюсь данным оператором больше 12 лет и всем доволен, ну, кроме роуминга )
зная проблемы дорог в России, то интернет не скоро дойдет до всего населения страны, и второе как быть с базовыми станциями, которые работают в настоящее время и откуда интересно деньги у "тонущего", погрязнувшегося в кредитах, смартса???