Новый зловред используется для кибершпионажа за крупным бизнесом на Ближнем Востоке и в Африке
Глобальный центр исследования и анализа угроз (GReAT) «Лаборатории Касперского» обнаружил, что кибергруппа SideWinder использует новый инструмент для шпионажа, получивший название StealerBot. В первую очередь злоумышленники целятся в крупные организации и стратегическую инфраструктуру на Ближнем Востоке и в Африке, однако потенциальный круг жертв может быть шире.
Чем известна группа. SideWinder (или T-APT-04, RattleSnake) попала в поле зрения экспертов кибербезопасности в 2012 году и до сих пор остаётся одной из наиболее активных кибергрупп. «Лаборатория Касперского» впервые сообщила о ней в 2018 году. Основной целью группы были военные и государственные учреждения в Пакистане, Шри-Ланке, Китае и Непале, а также организации из других сфер и стран Южной и Юго-Восточной Азии. Для заражения злоумышленники в основном использовали вредоносные документы, эксплуатирующие уязвимости в Office, а иногда — файлы LNK, HTML и HTA, распространяющиеся в архивах. Часто в этих документах содержалась информация с популярных сайтов, чтобы придать им легитимный вид и убедить жертву открыть файл. В рамках разных кампаний группа использовала несколько семейств вредоносного ПО: среди них были как специально разработанные, так и модифицированные версии готовых программ, общедоступные RAT-троянцы.
Что изменилось. Группа расширила географию атак — на Ближний Восток и Африку. Также SideWinder применила ранее неизвестный инструмент, получивший название StealerBot. Это продвинутый модульный имплант, специально разработанный для шпионажа. На данный момент группа использует его в качестве основного инструмента после эксплуатации уязвимостей. StealerBot способен выполнять целый ряд действий, например устанавливать дополнительное вредоносное ПО, делать скриншоты, регистрировать последовательность нажатия клавиш, красть пароли из браузеров, перехватывать учётные данные RDP (Remote Desktop Protocol), извлекать файлы.
«StealerBot позволяет злоумышленникам осуществлять слежку за системами, при этом его обнаружение затруднено. Он работает по модульной структуре, где каждый компонент выполняет определённую функцию. Эти модули никогда не отображаются в виде файлов на жёстком диске, что затрудняет их отслеживание: они загружаются непосредственно в память. В основе StealerBot лежит так называемый „Оркестратор”, который контролирует весь процесс, взаимодействует с сервером злоумышленников и координирует работу различных модулей», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») в России.
Чтобы снизить риски подвергнуться целевым кибератакам, «Лаборатория Касперского» рекомендует компаниям:
- предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости. Получать подробную информацию об уязвимостях можно с помощью сервиса Kaspersky Vulnerability Data Feed;
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
- устанавливать надёжное решение класса EDR для защиты конечных устройств, эффективность которого подтверждается независимыми тестовыми лабораториями.