APT28 uwalnia złośliwe oprogramowanie SkinnyBoy
Rosyjska grupa Advanced Persistent Threat (APT), śledzona pod aliasami APT28 lub Fancy Bear, niedawno wypuściła na wolność nowy szkodliwy program. Szkodnik ten, nazwany SkinnyBoy, został wykorzystany przeciwko kilku instytucjom rządowym w 2021 roku. Wydaje się, że przestępcy atakowali podmioty związane ze sprawami zagranicznymi, wojskiem i obronnością oraz zagraniczne ambasady. Chociaż niektóre ataki były wymierzone w członków Unii Europejskiej, SkinnyBoy Malware zostało również wykryte w skompromitowanych sieciach należących do organizacji amerykańskich.
Ale co dokładnie robi SkinnyBoy Malware? Zagrożenie to jest zwykle dostarczane za pośrednictwem wiadomości e-mail typu spear phishing, która zawiera dokument programu Microsoft Word. Chociaż plik załącznika może wyglądać na legalny, w rzeczywistości zawiera złośliwy skrypt, który wyodrębnia i inicjuje narzędzie do pobierania złośliwego oprogramowania. Przestępcy prawdopodobnie zmienią swój adres phishingowy w zależności od odbiorcy – często udawali, że powiadamiają użytkownika o oczekującym zaproszeniu na nadchodzące wydarzenie międzynarodowe.
Po pomyślnym wdrożeniu zagrożenia nie zostanie ono natychmiast uruchomione. Zamiast tego SkinnyBoy Malware zaprogramuje system Windows, aby uruchomił go przy następnym uruchomieniu. Opóźnione wykonanie to typowa sztuczka wykorzystywana przez cyberprzestępców w celu uniknięcia wykrycia. Po uruchomieniu SkinnyBoy Malware będzie wykorzystywać legalne funkcje systemu Windows do pobierania danych o konfiguracji oprogramowania zaatakowanego systemu — systeminfo.exe i tasklist.exe. Poza tym będzie próbował pobrać i uruchomić dodatkowe ładunki, ale jak dotąd nie zostały one zidentyfikowane.
Wygląda na to, że głównym celem SkinnyBoy Malware jest szpiegostwo i uzyskanie większej kontroli nad zaatakowanym systemem/siecią. Na szczęście producenci produktów antywirusowych są już świadomi nowego zagrożenia, a najnowsze poprawki do ich oprogramowania powinny wystarczyć, aby powstrzymać atak SkinnyBoy Malware.