18/04/25
Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») зафиксировали новую волну кибератак с использованием троянца удалённого доступа MysterySnail на государственные организации в России и Монголии. Об этой киберугрозе специалисты рассказали на конференции Kaspersky Future, которая проходит с 16 по 18 апреля в Санкт-Петербурге.
Данный зловред «Лаборатория Касперского» уже видела в 2021 году в атаках, за которыми стояла кибергруппа IronHusky. В их новой кампании, обнаруженной исследователями Kaspersky GReAT, применяется последняя версия модульного троянца MysterySnail.
Атакующие попадают в систему, используя вредоносный скрипт для консоли управления Microsoft. Это компонент Windows, который предоставляет системным администраторам и пользователям интерфейс для конфигурации и мониторинга системы. Скрипт распространяется под видом документа от официальной организации Монголии (National Land Agency of Mongolia, ALAMGAC). Если пользователь откроет файл, загружаются и начинают работать другие вредоносные файлы, в том числе библиотека CiscoSparkLauncher.dll. Она представляет собой бэкдор, который загружает и запускает троянец MysterySnail. Затем зловред взаимодействует с серверами, созданными атакующими, через протокол HTTP.
Использованная версия MysterySnail может выполнять около 40 команд: создавать, читать и удалять файлы, создавать и удалять процессы операционной системы, скачивать список каталогов, открывать прокси-канал и пересылать через него данные. Троянец умеет просматривать список подключённых накопителей, а также в фоновом режиме отслеживать сам момент подключения.
В продолжение кампании злоумышленники стали использовать облегчённую версию MysterySnail. Она включает в себя один компонент, поэтому эксперты присвоили ей название MysteryMonoSnail. Эта версия зловреда взаимодействует с тем же командно-контрольным сервером, что и основная, хотя и по другому протоколу — WebSocket, а не HTTP. У MysteryMonoSnail не так много возможностей, как у MysterySnail: облегчённая версия запрограммирована на выполнение только 13 базовых команд. Тем не менее, как считают эксперты, её нельзя недооценивать.
«Кибергруппа IronHusky действует как минимум с 2012 года. Один из её инструментов — троянец удалённого доступа MysterySnail, который обеспечивает злоумышленникам доступ в систему жертвы. Ранее атакующие уже использовали его в масштабных кампаниях кибершпионажа против ИТ-компаний, а также дипломатических организаций, — рассказывает Дмитрий Галов, руководитель Kaspersky GReAT в России. — Злоумышленники часто обновляют свои вредоносные программы, поэтому организациям необходимо интегрировать в свои стратегии безопасности непрерывную аналитику киберугроз. Это позволяет им сочетать исторические данные с информацией в режиме реального времени, а в результате предвидеть и нейтрализовать угрозы до того, как они нанесут удар».
Решения «Лаборатории Касперского» защищают организации от подобных целевых кибератак.
Чтобы обезопасить инфраструктуру организации от сложных целевых кибератак, «Лаборатория Касперского» рекомендует:
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать уязвимости, которыми могут воспользоваться злоумышленники;
- использовать комплексное решение, обеспечивающее защиту от киберугроз в режиме реального времени, например Kaspersky Symphony;
- проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их тому, как распознавать целевые фишинговые атаки. Для этого, например, можно использовать онлайн-платформу Kaspersky Automated Security Awareness Platform;
- предоставлять специалистам отделов кибербезопасности доступ к потокам аналитических данных Threat Intelligence, чтобы они оставались в курсе актуальных техник и тактик злоумышленников.
