Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon
Rosyjska grupa hakerów APT28, znaną również jako Fancy Bear, Car Team, Group 74, Sednit i Sofacy, znów dała o sobie znać. Ta jednostka cyberprzestępczą prawdopodobnie powiązaną jest z rosyjską agencją wywiadu wojskowego GRU. Tym razem hakerzy wprowadzili na scenę nowe złośliwe oprogramowanie, które zostało nazwane przez specjalistów Cannon i ulokowane jest w dokumentach Word. Trafiają one do ofiar w ataku spear phishing skierowanym do organizacji rządowych w Ameryce Północnej, Europie i byłym Związku Radzieckim. Cannon robi zrzuty ekranu i wysyła je do hakerów za pośrednictwem trzech kont hostowanych u czeskiego usługodawcy o nazwie Seznam.
Niebezpieczne oprogramowanie zbiera informacje o systemie i wykonuje zrzut ekranu pulpitu, aby określić, czy host jest interesujący
![Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon [1]](https://www.purepc.pl/image/news/2018/11/21_rosyjscy_hakerzy_znow_w_akcji_uzywaja_nowego_trojana_cannon_0_b.png)
Pod koniec października i na początku listopada 2018 roku Unit 42, oddział firmy Palo Alto Networks przechwycił serię dokumentów, które wykorzystują technikę pobierania szablonów zawierających złośliwe makro. Pliki Worda, które wykorzystano w ataku, nazwano po angielsku weaponized documents co po polsku można przetłumaczyć dość swobodnie jako dokumenty przerobione na broń. Tego typu pliki są trudniejsze do zidentyfikowania przez zautomatyzowane systemy analityczne ze względu na ich modułowy charakter. Dokumenty rozesłane emailem były adresowane do kilku jednostek rządowych na całym świecie, w tym w Ameryce Północnej, Europie i krajach byłego ZSRR.
Zatrzymano hakera, który ukradł EA ponad 300 000 dolarów
![Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon [2]](https://www.purepc.pl/image/news/2018/11/21_rosyjscy_hakerzy_znow_w_akcji_uzywaja_nowego_trojana_cannon_1_b.jpg)
Analiza wykazała, że w pierwszym etapie ataku część plików zawierała dobrze już znanego Trojana Zebrocy. Dokładniejsze zbadanie sprawy pozwoliło na odkrycie dobrze zakamuflowanego złośliwego oprogramowania w innych, pozornie bezpiecznych emailach. Trojan został nazwany Cannon. "Szczególnie interesującym aspektem jednego z dwóch analizowanych przez nas dokumentów była nazwa pliku "lista awarii (Lion Air Boeing 737) .docx" - czytamy na blogu Unit 42. "Nie jest to pierwszy przypadek wykorzystywania autentycznych wydarzeń jako przynęty, ale interesujące jest to, że ta grupa próbuje wykorzystać katastrofę i tragedię do wykonania ataku".
Armia USA publikuje w VirusTotal próbki kodu hakerów z Rosji
![Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon [3]](https://www.purepc.pl/image/news/2018/11/21_rosyjscy_hakerzy_znow_w_akcji_uzywaja_nowego_trojana_cannon_2_b.jpg)
Metoda polega na niezwykłej technice, która pomaga uniknąć analizy w środowisku piaskownicy: makro wykorzystuje funkcję AutoClose, która pozwala programowi Word opóźnić pełne wykonanie złego kodu, dopóki użytkownik nie zamknie dokumentu. Niebezpieczne oprogramowanie zbiera informacje o systemie i wykonuje zrzut ekranu pulpitu, aby określić, czy zagrożony host jest interesujący. Następnie loguje się na swoje konto e-mail, wysyła screenshoty, a ostatecznie pobiera dodatkowe pliki. Cannon wysyła wiadomości na adres e-mail "sahro.bella7 [at] post.cz za pośrednictwem trzech kont hostowanych u czeskiego usługodawcy o nazwie Seznam.
Powiązane publikacje
TSMC wznawia produkcję chipów na Tajwanie zaledwie kilkanaście godzin po potężnym trzęsieniu ziemi
56
PCI-SIG opublikowało dla swoich członków nowy szkic standardu PCIe 7.0. Rozwiązanie ma zadebiutować już w 2025 roku
61
Sztuczna inteligencja wejdzie na wyższy poziom. Microsoft i OpenAI stworzą superkomputer, którego koszt przekroczy 100 mld USD
41
TSMC odnotowuje duże zainteresowanie procesem 3 nm. Jego znaczenie w kolejnych latach będzie rosło
15
