Kaspersky otkrio novu hakersku grupu koja špijunira ruske vladine agencije

Vesti, 10.07.2024, 12:30 PM

Kaspersky otkrio novu hakersku grupu koja špijunira ruske vladine agencije

Istraživači Kaspersky Laba otkrili su novu hakersku grupu, nazvanu CloudSorcerer, koja koristi „sofisticirani alat za sajber špijunažu“ za krađu podataka od ruskih vladinih agencija.

Aktivnost grupe je prvi put primećena u maju, a istraživači u Kaspersky Labu kažu da podseća na APT grupu (napredna persistentna pretnja) poznatu kao CloudWizard, koja je prošle godine ciljala, između ostalog, diplomatske i istraživačke organizacije na teritorijama Ukrajine koje je okupirala Rusija.

S obzirom na to da ove dve grupe koriste „potpuno drugačiji“ malver, Kaspersky kaže da je CloudSorcerer nova grupa, „verovatno inspirisana“ tehnikama CloudWizarda, ali koja razvija sopstvene „jedinstvene“ alate.

Kaspersky nije otkrio više detalja o ciljevima CloudSourcera, niti je kampanju pripisao određenoj zemlji ili vladi.

Malver koristi GitHub kao svoj server za komandu i kontrolu (C2), rekao je Kaspersky. Takođe se oslanja na legitimne usluge u oblaku kao što su Yandex Cloud i Dropbox za prikriveno praćenje i prikupljanje podataka.

Korišćenje GitHuba i usluga u oblaku „demonstrira dobro planiran pristup sajber špijunaži“, rekli su istraživači.

CloudSorcererov malver napadači ručno pokreću na već zaraženom uređaju. On se sastoji od različitih modula, kao što su komunikacioni modul ili modul za prikupljanje podataka, koji mogu samostalno da obavljaju određene zadatke. Backdoor modul, na primer, prikuplja različite sistemske informacije o uređaju žrtve, kao što su ime računara, korisničko ime i vreme neprekidnog rada sistema.

Hakeri takođe mogu da prikupljaju informacije o fajlovima i folderima žrtava, kopiraju, premeštaju, preimenuju ili brišu fajlove, čitaju podatke iz bilo kog fajla, kreiraju i upisuju podatke u bilo koji fajl, kao i da pokreću dodatne napredne funkcionalnosti.

Sposobnost malvera da prilagođava svoje ponašanje na osnovu procesa u kojem radi ukazuje na „njegovu sofisticiranost“, rekao je Kaspersky.

Takođe nije jasno kako hakeri dobijaju početni pristup ciljanim mrežama i sa kojom su zemljom povezani.

S obzirom na to da su mnoge zapadne kompanije napustile rusko tržište kada je Rusija napala Ukrajinu, izveštaji ruskih kompanija za sajber bezbednost nude retku priliku da se sazna o sajber pretnjama sa kojima se suočavaju lokalne vlasti i kompanije.

Međutim, u slučaju CloudSorcerera, istraživači američke kompanije Proofpoint podelili su dodatna zapažanja o grupi. Oni kažu da su krajem maja primetili kampanju protiv organizacije sa sedištem u SAD u kojoj je korišćen email nalog koji je lažirao „dobro poznatu“ američku organizaciju sa lažnim pozivom na neki događaj kao mamac.

„Uočena aktivnost se preklapa sa detaljima u izveštaju koji je objavio Kaspersky“, rekli su istraživači Proofpointa. Oni pripisuju ovu aktivnost grupi koja se trenutno prati kao UNK_ArbitraryAcrobat.

Foto: Daniil Zameshaev | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje