Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
 
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon

Bogdan Stech | 21-11-2018 12:30 |

Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon Rosyjska grupa hakerów APT28, znaną również jako Fancy Bear, Car Team, Group 74, Sednit i Sofacy, znów dała o sobie znać. Ta jednostka cyberprzestępczą prawdopodobnie powiązaną jest z rosyjską agencją wywiadu wojskowego GRU. Tym razem hakerzy wprowadzili na scenę nowe złośliwe oprogramowanie, które zostało nazwane przez specjalistów Cannon i ulokowane jest w dokumentach Word. Trafiają one do ofiar w ataku spear phishing skierowanym do organizacji rządowych w Ameryce Północnej, Europie i byłym Związku Radzieckim. Cannon robi zrzuty ekranu i wysyła je do hakerów za pośrednictwem trzech kont hostowanych u czeskiego usługodawcy o nazwie Seznam.

Niebezpieczne oprogramowanie zbiera informacje o systemie i wykonuje zrzut ekranu pulpitu, aby określić, czy host jest interesujący

Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon  [1]

Pod koniec października i na początku listopada 2018 roku Unit 42, oddział firmy Palo Alto Networks przechwycił serię dokumentów, które wykorzystują technikę pobierania szablonów zawierających złośliwe makro. Pliki Worda, które wykorzystano w ataku, nazwano po angielsku weaponized documents co po polsku można przetłumaczyć dość swobodnie jako dokumenty przerobione na broń. Tego typu pliki są trudniejsze do zidentyfikowania przez zautomatyzowane systemy analityczne ze względu na ich modułowy charakter. Dokumenty rozesłane emailem były adresowane do kilku jednostek rządowych na całym świecie, w tym w Ameryce Północnej, Europie i krajach byłego ZSRR.

Zatrzymano hakera, który ukradł EA ponad 300 000 dolarów

Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon  [2]

Analiza wykazała, że w pierwszym etapie ataku część plików zawierała dobrze już znanego Trojana Zebrocy. Dokładniejsze zbadanie sprawy pozwoliło na odkrycie dobrze zakamuflowanego złośliwego oprogramowania w innych, pozornie bezpiecznych emailach. Trojan został nazwany Cannon. "Szczególnie interesującym aspektem jednego z dwóch analizowanych przez nas dokumentów była nazwa pliku "lista awarii (Lion Air Boeing 737) .docx" - czytamy na blogu Unit 42. "Nie jest to pierwszy przypadek wykorzystywania autentycznych wydarzeń jako przynęty, ale interesujące jest to, że ta grupa próbuje wykorzystać katastrofę i tragedię do wykonania ataku".

Armia USA publikuje w VirusTotal próbki kodu hakerów z Rosji

Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon  [3]

Metoda polega na niezwykłej technice, która pomaga uniknąć analizy w środowisku piaskownicy: makro wykorzystuje funkcję AutoClose, która pozwala programowi Word opóźnić pełne wykonanie złego kodu, dopóki użytkownik nie zamknie dokumentu. Niebezpieczne oprogramowanie zbiera informacje o systemie i wykonuje zrzut ekranu pulpitu, aby określić, czy zagrożony host jest interesujący. Następnie loguje się na swoje konto e-mail, wysyła screenshoty, a ostatecznie pobiera dodatkowe pliki. Cannon wysyła wiadomości na adres e-mail "sahro.bella7 [at] post.cz za pośrednictwem trzech kont hostowanych u czeskiego usługodawcy o nazwie Seznam.

Źródło: Palo Alto Networks
0
Zgłoś błąd
Liczba komentarzy: 4

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.