Украинский CERT обнаружил вредоносное ПО RoarBAT

Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) сообщила о продолжающейся фишинговой кампании, в которой для распространения вредоносного ПО SmokeLoader используются приманки на основе счетов. Электронные письма отправляются со взломанных учетных записей и содержат ZIP-архив, который на самом деле представляет собой файл-полиглот с документом-приманкой и файлом JavaScript. Этот файл используется для запуска вредоносной программы SmokeLoader, целью которой является загрузка более эффективных вредоносных программ в зараженные системы. CERT-UA приписывает эту деятельность UAC-0006, финансово мотивированному злоумышленнику, который стремится украсть учетные данные и перевести средства без разрешения.

Кроме того, служба кибербезопасности Украины выявила деструктивную атаку на организации государственного сектора, совершенную UAC-0165, группой, которую CERT-UA умеренно причисляет к группе Sandworm. В атаке участвовало вредоносное ПО-очиститель на основе пакетного сценария под названием RoarBAT, которое рекурсивно искало файлы с определенными расширениями и удаляло их с помощью легитимной утилиты WinRAR. Группа также скомпрометировала системы Linux, используя сценарий bash, который перезаписывал файлы нулевыми байтами, чтобы избежать обнаружения.

Атаке способствовало отсутствие MFA при удаленных подключениях к VPN. Деструктивное воздействие атаки привело к повреждению электронно-вычислительных машин, серверного оборудования, автоматизированных рабочих мест пользователей и систем хранения данных.

Кто такие субъекты продвинутой постоянной угрозы?

Субъекты Advanced Persistent Threat (APT) — это высококвалифицированные и мотивированные кибер-злоумышленники, которые проводят долгосрочные целенаправленные кампании кибершпионажа против конкретных целей, таких как государственные учреждения, критическая инфраструктура или крупные корпорации. Эти злоумышленники используют сложные методы для получения несанкционированного доступа к конфиденциальной информации и системам с целью кражи ценной интеллектуальной собственности, секретной информации или финансовых данных.

APT обычно используют комбинацию тактик, таких как целевой фишинг, социальная инженерия, вредоносное ПО и инструменты удаленного доступа, чтобы получить доступ к целевым системам. Получив доступ, субъекты APT могут закрепиться в сети, перемещаться в пределах целевой среды и оставаться незамеченными в течение длительного периода времени, пока они извлекают данные.

Участники APT часто спонсируются государством, при поддержке национальных государств или других крупных организаций, которые имеют значительные ресурсы для поддержки своих киберопераций. Однако они также могут иметь финансовую мотивацию, работая от имени преступных организаций, стремящихся украсть ценные данные для получения прибыли.

Защита от APT-атак требует многогранного подхода, включающего расширенные возможности обнаружения угроз и реагирования на них, строгие методы обеспечения безопасности и непрерывный мониторинг сетевой активности на предмет признаков подозрительного поведения.