В конце июля эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» выявили серию сложных целевых атак на российские ИТ-компании и государственные организации. Вредоносная кампания, которая получила название EastWind, была направлена на кражу служебной информации.
Начало атаки
Для первоначального заражения организаций злоумышленники рассылали письма с архивами во вложении. Внутри этих архивов находились вредоносные ярлыки, замаскированные под документы. При нажатии на ярлыки начиналась установка троянской программы, взаимодействующей со злоумышленниками при помощи облачного хранилища Dropbox.
Кража информации
После проникновения в сети организаций злоумышленники запускали на заражённых компьютерах вредоносные программы, предназначенные для кибершпионажа. Одной из них оказалась обновлённая версия бэкдора CloudSorcerer. Примечательно, что вскоре после публикации об этом бэкдоре злоумышленники усовершенствовали его, добавив в него возможность использовать российскую социальную сеть «Живой Журнал» в качестве первоначального командного сервера. Данное нововведение было разработано, чтобы тщательнее маскировать активность бэкдора.
Помимо CloudSorcerer, на компьютеры также загружались вредоносные инструменты, используемые говорящими на китайском языке кибергруппами APT27 и APT31. Эти зловреды обладают обширным функциональностью: они позволяют злоумышленникам осуществлять кражу файлов, наблюдать за действиями на экране и записывать нажатия клавиш на заражённых устройствах.
В рамках кампании EastWind злоумышленники стараются тщательно маскировать свою вредоносную активность, используя для этого популярные веб-сайты, такие как Dropbox и «Живой Журнал». Эксперты отмечают, что в ходе обнаруженных атак применялось вредоносное ПО двух групп, которые при этом говорят на одном языке — китайском. Это является признаком того, что данные группы работают совместно, активно обмениваются знаниями и инструментами для атак. Как показывает практика, подобное взаимодействие позволяет продвинутым злоумышленникам работать более эффективно.
Чтобы защититься от целевых атак, эксперты рекомендуют:
- проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии;
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять, а также настроить многофакторную аутентификацию;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
- внедрять EDR-решения для защиты конечных устройств, а также использовать решение для защиты корпоративной инфраструктуры, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии.