Кибершпионская группа Sandworm из россии нацелена на украинских пользователей Windows. Она распространяет трояны в активаторах KMS и фейковых обновлениях
Эти атаки, вероятно, начались в конце 2023 года. Аналитики EclecticIQ связывают их с хакерами Sandworm по признакам дублирования инфраструктуры, согласованных тактик, методов и процедур, а также частого использования учетных записей ProtonMail для регистрации доменов, которые служат для атак.
Злоумышленники также использовали загрузчик BACKORDER для развертывания вредоносного программного обеспечения DarkCrystal RAT (DcRAT) и «символами, ссылающимися на русскоязычную среду сборки».
EclecticIQ обнаружил семь кампаний по распространению вредоносного программного обеспечения, связанных с одним и тем же кластером вредоносной активности, каждая из которых использует похожие приманки и процедуры. 12 января 2025 года аналитики наблюдали заражение жертв трояном удаленного доступа DcRAT во время атак с похищением данных с использованием домена с ошибками.
После развертывания на устройстве жертвы фальшивый инструмент активации KMS воспроизводит фальшивый интерфейс активации Windows, устанавливает загрузчик вредоносного программного обеспечения и отключает Windows Defender в фоновом режиме, после чего загружается главное ПО RAT.
Конечной целью атак является сбор конфиденциальной информации с инфицированных компьютеров и ее передача на контролируемые злоумышленниками серверы. Вредоносное программное обеспечение сохраняет нажатия клавиш, файлы cookie браузера, историю браузера, сохраненные учетные данные, пароли FTP, системную информацию и снимки экрана.
Использование Sandworm злонамеренных активаторов Windows, вероятно, было вызвано огромным потенциалом для атак из-за интенсивного использования пиратского программного обеспечения в Украине, даже в правительственном секторе.
«Многие пользователи, включая предприятия и критически важные организации, обратились к пиратскому программному обеспечению из ненадежных источников, предоставляя противникам, таким как Sandworm (APT44), отличную возможность вставлять вредоносное программное обеспечение в широко используемые приложения. Эта тактика делает возможным широкомасштабный шпионаж, кражу данных и компрометацию сети, которые непосредственно угрожают национальной безопасности Украины, критической инфраструктуре и устойчивости частного сектора», — отмечает EclecticIQ.
Sandworm (также известная как UAC-0113, APT44 и Seashell Blizzard) — хакерская группа, которая действует по крайней мере с 2009 года и входит в состав военной части 74455 главного разведывательного управления (ГРУ), российской военной разведки. Отчет EclecticIQ включает детальный анализ атак и работы ПО.
Російські хакери посилили атаки на комп’ютери українських військовослужбовців
Источник: BleepingComputer
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: