Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon
Rosyjska grupa hakerów APT28, znaną również jako Fancy Bear, Car Team, Group 74, Sednit i Sofacy, znów dała o sobie znać. Ta jednostka cyberprzestępczą prawdopodobnie powiązaną jest z rosyjską agencją wywiadu wojskowego GRU. Tym razem hakerzy wprowadzili na scenę nowe złośliwe oprogramowanie, które zostało nazwane przez specjalistów Cannon i ulokowane jest w dokumentach Word. Trafiają one do ofiar w ataku spear phishing skierowanym do organizacji rządowych w Ameryce Północnej, Europie i byłym Związku Radzieckim. Cannon robi zrzuty ekranu i wysyła je do hakerów za pośrednictwem trzech kont hostowanych u czeskiego usługodawcy o nazwie Seznam.
Niebezpieczne oprogramowanie zbiera informacje o systemie i wykonuje zrzut ekranu pulpitu, aby określić, czy host jest interesujący
![Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon [1]](https://www.purepc.pl/image/news/2018/11/21_rosyjscy_hakerzy_znow_w_akcji_uzywaja_nowego_trojana_cannon_0_b.png)
Pod koniec października i na początku listopada 2018 roku Unit 42, oddział firmy Palo Alto Networks przechwycił serię dokumentów, które wykorzystują technikę pobierania szablonów zawierających złośliwe makro. Pliki Worda, które wykorzystano w ataku, nazwano po angielsku weaponized documents co po polsku można przetłumaczyć dość swobodnie jako dokumenty przerobione na broń. Tego typu pliki są trudniejsze do zidentyfikowania przez zautomatyzowane systemy analityczne ze względu na ich modułowy charakter. Dokumenty rozesłane emailem były adresowane do kilku jednostek rządowych na całym świecie, w tym w Ameryce Północnej, Europie i krajach byłego ZSRR.
Zatrzymano hakera, który ukradł EA ponad 300 000 dolarów
![Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon [2]](https://www.purepc.pl/image/news/2018/11/21_rosyjscy_hakerzy_znow_w_akcji_uzywaja_nowego_trojana_cannon_1_b.jpg)
Analiza wykazała, że w pierwszym etapie ataku część plików zawierała dobrze już znanego Trojana Zebrocy. Dokładniejsze zbadanie sprawy pozwoliło na odkrycie dobrze zakamuflowanego złośliwego oprogramowania w innych, pozornie bezpiecznych emailach. Trojan został nazwany Cannon. "Szczególnie interesującym aspektem jednego z dwóch analizowanych przez nas dokumentów była nazwa pliku "lista awarii (Lion Air Boeing 737) .docx" - czytamy na blogu Unit 42. "Nie jest to pierwszy przypadek wykorzystywania autentycznych wydarzeń jako przynęty, ale interesujące jest to, że ta grupa próbuje wykorzystać katastrofę i tragedię do wykonania ataku".
Armia USA publikuje w VirusTotal próbki kodu hakerów z Rosji
![Rosyjscy hakerzy znów w akcji. Używają nowego trojana Cannon [3]](https://www.purepc.pl/image/news/2018/11/21_rosyjscy_hakerzy_znow_w_akcji_uzywaja_nowego_trojana_cannon_2_b.jpg)
Metoda polega na niezwykłej technice, która pomaga uniknąć analizy w środowisku piaskownicy: makro wykorzystuje funkcję AutoClose, która pozwala programowi Word opóźnić pełne wykonanie złego kodu, dopóki użytkownik nie zamknie dokumentu. Niebezpieczne oprogramowanie zbiera informacje o systemie i wykonuje zrzut ekranu pulpitu, aby określić, czy zagrożony host jest interesujący. Następnie loguje się na swoje konto e-mail, wysyła screenshoty, a ostatecznie pobiera dodatkowe pliki. Cannon wysyła wiadomości na adres e-mail "sahro.bella7 [at] post.cz za pośrednictwem trzech kont hostowanych u czeskiego usługodawcy o nazwie Seznam.
Powiązane publikacje
ARM ma już 40 lat. Architektura, która zasila smartfony, serwery i roboty, trafiła do ponad 250 miliardów urządzeń
22
Anthropic chce zajrzeć do wnętrza AI. Czy do 2027 roku odkryjemy, jak naprawdę myślą modele językowe?
22
Firma Elona Muska xAI chce pozyskać 25 miliardów dolarów na budowę superkomputera Colossus 2 z milionem GPU NVIDIA
60
Nowatorski interfejs mózg-komputer od Georgia Tech może zmienić sposób, w jaki ludzie komunikują się z technologią i otoczeniem
4
