04/06/21
Исследователи в области кибербезопасности из компании Cluster25 обнаружили новое вредоносное ПО под названием SkinnyBoy, которое использовалось в целенаправленных фишинговых атаках. Вредоносную кампанию связывают с русскоязычной хакерской группировкой APT28 (также известной как Fancy Bear, Sednit, Sofacy, Strontium или PwnStorm).
Преступники использовали SkinnyBoy для осуществления атак на военные и правительственные учреждения в начале нынешнего года. SkinnyBoy разработан для промежуточного этапа атаки, сбора информации о жертве и получения полезной нагрузки с C&C-сервера.
По данным специалистов, APT28 организовала кампанию в начале марта, сосредоточив внимание на министерствах иностранных дел, посольствах и предприятиях в сфере оборонной промышленности и военном секторе. Многочисленные жертвы находятся в странах ЕС, однако вредоносная деятельность предположительно могла затронуть и организации в США.
Хакеры распространяют электронные письма с зараженным документом Microsoft Word. Документ содержит макрос для извлечения DLL-файла и загрузки вредоносного ПО SkinnyBoy. Письма замаскированы под приглашения на международное научное мероприятие, которое состоится в Испании в конце июля.
Попав в систему жертвы, загрузчик обеспечивает персистентность на системе и переходит к извлечению следующей полезной нагрузки, зашифрованной в Base64. Полезная нагрузка удаляется после извлечения двух файлов в скомпрометированной системе:
Цель SkinnyBoy — похитить информацию о зараженной системе, загрузить и запустить последнюю полезную нагрузку атаки, которая на данный момент остается неизвестной. Хищение данных осуществляется с помощью уже имеющихся в Windows инструментов systeminfo.exe и tasklist.exe, которые позволяют извлекать имена файлов в определенных местах.
