Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру

Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру


11.10.2018

Кибершпионы Gallmaker атакуют военные и правительственные организации по всему миру

Эксперты компании Symantec раскрыли подробности о деятельности киберпреступной группировки Gallmaker, атакующей правительственные и военные организации по всему миру с целью кибершпионажа. Примечательно, злоумышленники не используют вредоносное ПО для перехвата контроля над системами жертв – в атаках применяются легитимные инструменты, например, фреймворк Metasploit и оболочка PowerShell.

 Группировка активна по меньшей мере с декабря 2017 года. Список ее жертв включает ряд зарубежных посольств одной из стран Восточной Европы (о каком государстве идет речь, не раскрывается) и несколько военных структур в странах Среднего Востока. Специалисты не могут с уверенностью сказать, спонсируется ли Gallmaker каким-либо правительством, но отмечают, что за операциями стоит "весьма компетентная организация".

 В ходе атак злоумышленники рассылают фишинговые письма с документами на правительственную, военную или дипломатическую тематику. Для компрометации систем жертвы злоумышленники эксплуатируют функцию Dynamic Data Exchange (DDE) в приложении Word. Протокол DDE применяется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. В минувшем году компания Microsoft выпустила обновление, отключающее функционал в Word и Excel.

 Вместо вредоносного ПО группировка Gallmaker применяет различные легитимные процессы и инструменты, доступные в интернете или включенные в состав Windows. К примеру функция WindowsRoamingToolsTask используется для планирования задач и скриптов PowerShell, а с помощью инструмента Metasploit злоумышленники обфусцируют шелл-код, исполняемый из PowerShell. Для связи с управляющим сервером и выполнения команд участники группы используют официальную версию архиватора WinZip, а также применяют библиотеку Rex PowerShell для создания и манипуляции скриптами PowerShell. По завершении атакующие удаляют инструменты с компьютера жертвы, чтобы замести следы.

 По данным Symantec, в период с декабря 2017 года по июнь 2018 года злоумышленники провели 20 атак, насколько они оказались успешными, специалисты выяснить не смогли.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.