Группа использует набор инструментов SysUpdate для заражения устройств.
Иллюстрация / REUTERS
Специалисты международного разработчика антивирусного программного обеспечения, эксперта в области киберзащиты - компании ESET-предупредили об обнаружении новой активности группы LuckyMouse.
Как заявили в пресс-службе компании, в частности,
Для заражения устройств группа использует набор инструментов SysUpdate. Целями этой злонамеренной кампании, получившей название EmissarySoldier, были правительственные и дипломатические учреждения, а также частные компании.
За последние несколько лет государственные учреждения по всему миру столкнулись с рядом серьезных проблем: быстрая цифровизация всех сфер жизни, пандемия COVID-19, которая вызвала массовый переход к удаленной работе, кибершпионаж, программы-вымогатели и постоянные атаки на цепочку поставок. Однако за последние несколько лет наиболее серьезной проблемой для кибербезопасности правительственных организаций являются APT-группы, распространяющие сверхсложные угрозы.
Одной из таких групп является LuckyMouse, которая прославилась проведением целенаправленных атак на крупные организации по всему миру. Чтобы заразить пользователей, злоумышленники компрометируют веб-сайты, которые, вероятно, посещают жертвы. Кроме того, LuckyMouse сканирует сеть, чтобы найти уязвимые серверы, к которым можно получить доступ через Интернет. После компрометации машин киберпреступники используют на них один из своих вредоносных инструментов.
В ходе изучения деятельности этих злоумышленников специалисты ESET проанализировали набор инструментов SysUpdate, первые образцы которых были обнаружены еще в 2018 году. С тех пор киберпреступники постоянно совершенствовали свои инструменты и расширяли их функциональность. Текущая версия LuckyMouse tools использует три компонента: законное приложение, уязвимое для компрометации библиотеки DLL, специальную библиотеку DLL, которая загружает компонент, и двоичный компонент.
Исследователи ESET также обнаружили, что некоторые из скомпрометированных машин работали под управлением Microsoft SharePoint, доступ к которым можно получить через Интернет. В 2019 и 2020 годах в этой программе было обнаружено несколько уязвимостей для удаленного выполнения кода. Хотя пока нет никаких доказательств использования этих эксплойтов, компоненты LuckyMouse были развернуты через те же службы Internet Information Services (IIS), которые обслуживают Microsoft SharePoint.
В связи с риском дальнейшего распространения этого вредоносного программного обеспечения необходимо защитить серверы, к которым можно получить доступ через Интернет. Кроме того, решение EDR должно использоваться для своевременного обнаружения подозрительных процессов.
Более подробная информация о киберугрозах и рисках для государственных учреждений, а также рекомендации по защите доступны здесь.
Как сообщал УНИАН, ежедневно в Украине регистрируется около 300 тысяч новых киберугроз информационной безопасности. В то же время найти злоумышленников крайне сложно, компании могут проводить только поминутный мониторинг для выявления киберугроз с целью их дальнейшей блокировки.
ESET является ведущим разработчиком решений в области компьютерной безопасности и экспертом в области ИТ-безопасности. Компания была основана в 1992 году в Словакии и на сегодняшний день представлена более чем в 180 странах мира.
Автор: Иван Бойко
