Бизнес

Психологиялық тест ретінде жасырылған жалған қосымша Қазақстан мен өзге елдердің мемлекеттік секторына және энергетика саласына кибершабуыл жасау үшін қолданылуда

«Касперский зертханасының» сарапшылары бұған дейін белгісіз болған Armored Likho хакерлік тобына қатысы бар зиянды кибернауқанды анықтады . Зиянкестер вирус жұққан құрылғылардан құпия деректерді ұрлауға, экран суреттерін жасауға және браузерлерде сақталған құпиясөздерді қолға түсіруге қабілетті BusySnake атты жаңа стилерді пайдаланып отыр. Зиянды бағдарлама негізінен түрлі сылтаумен жіберілетін фишингтік электрондық хаттар арқылы таралады. Онда психологиялық тест тапсыру немесе гуманитарлық көмекке өтініш беру сияқты ұсыныстар қолданылады. Кибернауқанның негізгі нысанасы – мемлекеттік мекемелер мен электр энергетикасы саласы. Қазіргі уақытта шабуылдар Қазақстанда, Ресейде және Бразилияда тіркелген және әлі де жалғасуда.

Қалай жұқтырылады? Шабуылдың негізгі тәсілдерінің бірі – фишинг. Зиянкестер белгілі бір ұйымдардың қызметкерлеріне зиянды мұрағат файлдары тіркелген электрондық хаттарды мақсатты түрде жолдайды. Хаттардың тақырыбы әртүрлі болғанымен, олардың басты мақсаты – алушыны зиянды файлды ашуға көндіру. Мысалы, кейбір хаттарда психологиялық тесттен өту немесе гуманитарлық көмек алуға өтінім беру ұсынылады. Мұрағат файлдарының атауы да хаттың мазмұнына сәйкес таңдалып, пайдаланушыны жаңылыстыруға бағытталған. Пайдаланушы файлды іске қосқан кезде назарды басқаға аудару үшін экранда психологиялық сауалнама немесе құжат-приманка ашылады. Осы уақытта көпсатылы жүктеу процесі арқылы құрылғыға BusySnake стилері жасырын түрде орнатылады.

Жаңа busysnake стилер. Стилер Python-да жазылған және Windows жүйелеріне шабуыл жасауға арналған. Талдау барысында сарапшылар бұл зиянкестің бірнеше нұсқасын, сондай-ақ cookie файлдарын ұрлауға арналған қосымша модульді тапты. BusySnake кең функционалдылыққа ие, атап айтқанда ол алмасу буферінен деректерді ұрлауға, жұқтырған құрылғыдан құпия файлдарды шабуылдаушылардың командалық серверіне жіберуге, Firefox пен Chromium негізіндегі браузерлерден құпия сөздерді ұстауға қабілетті. Сонымен қатар, стилердің бастапқы коды статикалық талдауды анықтаудан және қиындықтан қорғаудың бірнеше әдісін ұсынады. Busysnake-ті құрылғыға жеткізу үшін жүктеушілер қолданылады, олар кодты талдауға сәйкес AI көмегімен жасалған.

Шабуылдардың артында кім тұр? Сарапшылардың бағалауынша, бұл кибернауқан бұрын сипатталмаған Armored Likho тобының әрекетімен байланысты болуы ықтимал. Аталған топ ұйымдарға қарсы кибертыңшылық жүргізуді және жеке пайдаланушыларға қаржылық мақсаттағы шабуылдарды қатар жүзеге асырады.

«Соңғы бірнеше айдағы Armored Likho әрекеттерін талдау шабуылдаушылардың алғашқы кезеңдегі зиянды жүктемелерді жасау үшін жасанды интеллект құралдарын қолдана бастағанын көрсетті. Бұған кодтағы артық түсіндірмелер мен бағдарламалық блоктар дәлел бола алады. Мұндай тәсіл шабуыл жасау жолдарын едәуір кеңейтеді. Сонымен қатар, топ өзінің зиянды құралдарын үнемі жетілдіріп келеді. Бұрын Go2Tunnel жеке құрал ретінде пайдаланылса, қазіргі науқанда оның мүмкіндіктері тікелей стилердің құрамына енгізілген және басқару серверінен алынатын параметрлер арқылы жұмыс істейді. Сондай-ақ анықталған стилердің архитектурасы топтың тағы бір құралы – AquilaRAT бағдарламасына ұқсас екені байқалады. Қолданылатын тәсілдер мен зиянды құралдарды жасыруға тырысқанына қарамастан, біз Armored Likho тобының қызметін бақылауды жалғастырып, олардың жаңа кибернауқандарын анықтап келеміз», – дейді зерттеушілер.

Kaspersky Endpoint Detection and Response Expert секілді «Касперский зертханасының» қорғаныс шешімдері аталған зиянды белсенділікті сәтті анықтайды.

Armored Likho тобы туралы толық техникалық есеп Securelist.ru сайтында жарияланған.

Другие новости

Back to top button