С начала 2022 года в России, странах Восточной Европы и Афганистане зафиксировали волну целевых атак на оборонные предприятия и сайты госорганов, сообщили в «Лаборатории Касперского». Эксперты компании связали атаки с китайской кибергруппой TA428.
Эксперты считают, что целью атак был кибершпионаж. «Атакующим удалось в ряде случаев полностью захватить IT-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма», — рассказали в компании.
В письмах содержалась внутренняя информация, не доступная в публичных источниках на момент её использования злоумышленниками, в том числе ФИО сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К письмам были прикреплены файлы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882.
Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление заражённой системой. От пользователя даже не требуется включать выполнение макросов.
Главным инструментом развития атаки была утилита Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей, считают в «Лаборатории Касперского».
«На финальном этапе они захватывали контроллер домена и далее получали полный контроль над рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах», — указали в компании.
Также в компании отметили, что эти же серверы использовались для управления вредоносным ПО.
