Перейти к основному разделу

Выявлена кампания кибершпионажа против государственного учреждения на Ближнем Востоке

27 мая 2024 г.

Исследователи «Лаборатории Касперского» обнаружили в феврале 2024 года кампанию кибершпионажа на государственное учреждение на Ближнем Востоке

Она получила название DuneQuixote, поскольку для атак используется вредоносный код со строками из испанских стихотворений. Злоумышленники прибегли к такой уловке, чтобы затруднить обнаружение вредоносного ПО.

Кампания начинается с внедрения программы-дроппера, которая маскируется под установочные файлы легитимного файлового менеджера Total Commander. Таким образом исходно на устройство дроппер попадает, если его загрузит сам пользователь. В коде зловреда содержатся строки из испанских стихотворений, которые различаются в зависимости от образца. Это «сбивает» детектирующие механизмы и усложняет обнаружение вредоносного ПО традиционными методами.

Троянцы-дропперы в свою очередь позволяют загрузить другие зловреды — бэкдоры под названием CR4T, которые обеспечивают злоумышленникам доступ к устройству жертвы. Бэкдоры написаны на языках C/C++ и Go. В версии на Go для коммуникаций с командно-контрольным сервером используется Telegram API: задействуются общедоступные привязки Telegram API для Go.

«Варианты обнаруженного вредоносного ПО показывают адаптивность и изобретательность атакующих в ходе этой кампании. На данный момент мы обнаружили два импланта бэкдора CR4T, но предполагаем, что существуют и другие», — комментирует Сергей Ложкин, ведущий эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защититься от целевых атак, эксперты «Лаборатории Касперского» рекомендуют:

  • предоставить сотрудникам SOC доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»;
  • повышать навыки ИБ-специалистов для противодействия актуальным угрозам. Например, в этом могут помочь онлайн-тренинги по кибербезопасности от экспертов «Лаборатории Касперского»;
  • поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, важно обучать цифровой грамотности всех сотрудников, например с помощью Kaspersky Automated Security Awareness Platform;
  • внедрить EDR-решение для защиты конечных устройств, чтобы своевременного обнаруживать и реагировать на инциденты, например Kaspersky Endpoint Detection and Response;
  • использовать решение корпоративного уровня, помогающее выявлять сложные угрозы на ранней стадии на уровне сети, такое как Kaspersky Anti Targeted Attack Platform.

Выявлена кампания кибершпионажа против государственного учреждения на Ближнем Востоке

Исследователи «Лаборатории Касперского» обнаружили в феврале 2024 года кампанию кибершпионажа на государственное учреждение на Ближнем Востоке
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы