Хакеры маскируют вредоносный софт под психологические тесты для атак на госсектор и энергетику

Share to Telegram Share to VK
clock 58 минут назад
Хакеры маскируют вредоносный софт под психологические тесты для атак на госсектор и энергетику © Сгенерировано ИИ

Эксперты «Лаборатории Касперского» обнаружили активную киберкампанию новой хакерской группировки Armored Likho, нацеленную на государственные органы и предприятия электроэнергетики, сообщает официальный сайт компании. Для проникновения в корпоративные сети злоумышленники рассылают фишинговые письма с вредоносными вложениями, замаскированными под психологические опросы или анкеты для получения гуманитарной помощи. На данный момент факты заражения зафиксированы в России, Казахстане и Бразилии.

Механизм заражения

Атака начинается с точечной фишинговой рассылки. Чтобы ввести жертву в заблуждение, названия вредоносных архивов полностью соответствуют заявленной теме письма. При открытии файла на экране пользователя запускается реальный психологический тест или документ-приманка, пока в фоновом режиме разворачивается многоэтапная цепочка загрузки.

Итогом атаки становится внедрение нового стилера BusySnake, написанного на языке Python и ориентированного на Windows-системы. Вредоносная программа обладает обширным функционалом:

- собирает данные из буфера обмена;

- копирует конфиденциальные файлы и отправляет их на командный сервер;

- перехватывает сохраненные пароли в Mozilla Firefox и браузерах на базе Chromium;

- использует отдельный модуль для кражи файлов cookie.

В коде BusySnake предусмотрено несколько механизмов для обхода защитных систем и усложнения статического анализа. При этом первичные загрузчики, доставляющие стилер на компьютер, по оценке аналитиков, были созданы с привлечением инструментов искусственного интеллекта — на это указывают избыточные комментарии и специфическая структура блоков кода.

Организаторы кампании

С высокой долей вероятности за операцией стоит ранее не описанная группировка Armored Likho. Ее участники совмещают кибершпионаж против организаций с атаками на обычных пользователей ради финансовой выгоды.

Наблюдения за последние месяцы показывают, что хакеры активно модифицируют свои инструменты. В актуальной кампании они отказались от использования утилиты Go2Tunnel в качестве отдельного элемента, интегрировав ее функции прямо в тело стилера (теперь она управляется командами со стороны сервера злоумышленников). Также в архитектуре BusySnake прослеживается техническое сходство с другим известным инструментом этой же группы — трояном AquilaRAT.

Рекомендации по защите инфраструктуры

Для противодействия угрозам подобного уровня специалистам рекомендуют реализовать комплекс превентивных мер:

- Организовать регулярное обучение персонала базовым правилам цифровой гигиены и методам распознавания фишинга.

- Использовать современные системы защиты конечных устройств (EDR) и платформы класса XDR для раннего выявления сложных инфраструктурных угроз.

- Обеспечить ИБ-подразделения оперативным доступом к аналитическим данным Threat Intelligence для отслеживания актуальных тактик хакеров.

- Сформировать детальный план реагирования на инциденты с четким распределением зон ответственности и сценариев действий при взломе.

Читайте также: Облака без иллюзий: чему на самом деле научился рынок IaaS к 2026 году


Был ли вам полезен данный материал?


Журнал RUБЕЖ собрал в новом номере мнения участников рынка о ключевых изменениях в сфере пожарной безопасности: как работать проектировщикам после обновления Сводов правил 3, 6, 484, 485, нормативные новации, анализ госзакупок и применение нацрежима.

Подписывайся на наши каналы в Telegram:

Подпишись на еженедельный дайджест самых интересных новостей по e-mail    
Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

RUБЕЖ в telegram+ RUБЕЖ-RSS RUБЕЖ в vk RUБЕЖ на youtube RUБЕЖ на dzen RUБЕЖ на max

Контакты

Адрес: 119270, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

Первый отраслевой маркетплейс систем безопасности SecumarketПартнёр первого маркетплейса систем безопасности secumarket.ru
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.