APT28 раскрывает вредоносное ПО SkinnyBoy
Российская группа Advanced Persistent Threat (APT), отслеживаемая под псевдонимами APT28 или Fancy Bear, недавно выпустила новую вредоносную программу. Вредоносная программа, получившая название SkinnyBoy, была использована против нескольких государственных учреждений в 2021 году. Преступники, по всей видимости, преследовали организации, связанные с иностранными делами, армией и обороной, а также иностранные посольства. Хотя некоторые из атак были нацелены на членов Европейского Союза, вредоносное ПО SkinnyBoy было также обнаружено в скомпрометированных сетях, принадлежащих организациям США.
Но что именно делает вредоносное ПО SkinnyBoy? Эта угроза обычно доставляется через целевое фишинговое письмо, содержащее документ Microsoft Word. Хотя прикрепленный файл может выглядеть законным, на самом деле он содержит вредоносный сценарий, который извлекает и инициализирует загрузчик вредоносных программ. Преступники, вероятно, изменят свой фишинговый адрес электронной почты в зависимости от получателя - они часто делали вид, что уведомляют пользователя о незавершенном приглашении на предстоящее международное мероприятие.
После успешного развертывания угрозы она не запустится сразу. Вместо этого SkinnyBoy Malware запрограммирует Windows, чтобы запустить ее при следующей загрузке. Отложенное выполнение - типичный прием, который используют киберпреступники, чтобы избежать обнаружения. После запуска SkinnyBoy Malware будет использовать законные функции Windows для получения данных о конфигурации программного обеспечения скомпрометированной системы - systeminfo.exe и tasklist.exe. Помимо этого, он попытается загрузить и запустить дополнительные полезные нагрузки, но пока они не были идентифицированы.
Похоже, что основная цель SkinnyBoy Malware - шпионаж и получение большего контроля над скомпрометированной системой / сетью. К счастью, производители антивирусных продуктов уже знают о новой угрозе, и последних исправлений для их программного обеспечения должно быть более чем достаточно, чтобы предотвратить атаку SkinnyBoy Malware.