MY.UAНовини
З картинками
Текстовий вигляд
uk
УкраїнськаРосійська
22 жовтня, середа
Російські хакери атакують через фейкову капчу "Я не робот"
Російські хакери атакують через фейкову капчу "Я не робот"

Російські хакери атакують через фейкову капчу "Я не робот"

Російське хакерське угруповання, що підтримується державою, активізувало свою діяльність, використовуючи нове сімейство шкідливих програм. Зловмисники застосовують складні ланцюжки доставки шкідливого коду, які починаються з атак соціальної інженерії, що імітують перевірку CAPTCHA.

Як працює нова схема кібератак?

Кібершпигунське угруповання, відоме під назвами Star Blizzard, ColdRiver та Callisto, яке пов'язують з російською ФСБ, перейшло до використання більш агресивних методів атак. Раніше вони застосовували шкідливе програмне забезпечення LostKeys для шпигунства за західними урядами, журналістами, аналітичними центрами та неурядовими організаціями. Проте, як зазначають дослідники, менш ніж через тиждень після публічного розкриття деталей про LostKeys, хакери повністю відмовилися від цього інструменту, пише 24 Канал з посиланням на Bleeping Computer.

На зміну прийшли нові розробки, зокрема NOROBOT, YESROBOT та MAYBEROBOT. Атаки тепер починаються з так званих "ClickFix" – фейкових сторінок з CAPTCHA. Жертву переконують, що для підтвердження того, що вона не робот, потрібно виконати певну команду. Насправді ж ця дія запускає шкідливий файл NOROBOT.

Спочатку NOROBOT використовувався для встановлення повноцінної версії Python 3.8 на комп'ютер жертви, щоб підготувати середовище для запуску бекдора YESROBOT. Однак такий метод виявився надто помітним, тому хакери швидко відмовилися від нього на користь більш прихованого інструменту – MAYBEROBOT. Цей новий бекдор є PowerShell-скриптом і, за даними компанії з кібербезпеки Zscaler, також відомий під назвою SIMPLEFIX.

З початку червня хакери почали використовувати спрощену версію NOROBOT для доставки MAYBEROBOT. Цей інструмент має три основні функції: завантаження та виконання коду за вказаною URL-адресою, виконання команд через командний рядок та запуск довільних блоків PowerShell. Після виконання завдань програма надсилає результати на командно-контрольні сервери, що дозволяє зловмисникам оцінити успішність операції.

Аналітики Google відзначають, що розробка MAYBEROBOT, схоже, стабілізувалася, і тепер хакери зосередилися на вдосконаленні NOROBOT, роблячи його ще більш непомітним та ефективним. Вони ускладнили ланцюжок доставки, розділивши криптографічні ключі між кількома компонентами. Це робить розшифровку фінального шкідливого навантаження значно складнішою, якщо хоча б один із компонентів відсутній.

Чому вони змінили підхід?

Дослідники поки не мають однозначної відповіді, чому угруповання перейшло від традиційних фішингових атак до методу "ClickFix". Одне з припущень полягає в тому, що хакери націлюються на раніше скомпрометовані системи, з яких вже були викрадені електронні листи та контакти. Повторна атака може бути спрямована на отримання додаткової розвідувальної інформації безпосередньо з пристроїв жертв.

Попри спроби заблокувати інфраструктуру угруповання, санкції та викриття їхніх тактик, Star Blizzard залишається активною та загрозою, що постійно еволюціонує.

Джерело матеріала
InternetUAInternetUA
loader