Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры Shuckworm атакуют украинские организации новым вариантом бэкдора Pteredo

22/04/22

hack39-Apr-22-2022-09-45-29-02-AMСпециалисты ИБ-компании Symantec сообщили об атаках киберпреступной группировки Shuckworm (Armageddon или Gamaredon) на украинские организации с использованием нового варианта кастомного бэкдора Pteredo (Pteranodon).

По подсчетам специалистов, она осуществила более 5 тыс. кибератак на 1,5 тыс. общественных и частных предприятий в стране.

Pteredo берет свое начало на хакерских форумах, где в 2016 году его приобрела группировка Shuckworm. Хакеры стали активно разрабатывать бэкдор, добавляя в него DLL- модули для похищения данных, удаленного доступа и анализа проникновения.

Помимо Pteredo в недавних атаках Shuckworm также использовала инструмент для удаленного доступа UltraVNC и Microsoft Process Explorer для обработки процессов DLL-модулей.

Если сравнить атаки Shuckworm на украинские организации с января 2022 года, то можно прийти к выводу, что группировка практически не изменила свои тактики. В предыдущих атаках варианты Pteredo загружались на атакуемые системы с помощью файлов VBS, спрятанных внутри документа, прилагающегося к фишинговому письму. Файлы 7-Zip разархивируются автоматически, что минимизирует взаимодействие с пользователем (эти же файлы использовались и в январских атаках).

Хотя Shuckworm является высокопрофессиональной группировкой, ее инструментарий и тактики заражения не усовершенствовались за последние несколько месяцев, что облегчило ее обнаружение и упростило методы защиты.

В настоящее время Pteredo все еще активно разрабатывается, а значит, хакеры могут работать над более продвинутой, мощной и не поддающейся детектированию версией бэкдора, а также модифицировать свою цепочку атаки.

Темы:ПреступленияУкраинаSymantecбэкдор
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...