Kaspersky otkrio novu hakersku grupu koja špijunira ruske vladine agencije

Vesti, 10.07.2024, 12:30 PM

Istraživači Kaspersky Laba otkrili su novu hakersku grupu, nazvanu CloudSorcerer, koja koristi „sofisticirani alat za sajber špijunažu“ za krađu podataka od ruskih vladinih agencija.

Aktivnost grupe je prvi put primećena u maju, a istraživači u Kaspersky Labu kažu da podseća na APT grupu (napredna persistentna pretnja) poznatu kao CloudWizard, koja je prošle godine ciljala, između ostalog, diplomatske i istraživačke organizacije na teritorijama Ukrajine koje je okupirala Rusija.

S obzirom na to da ove dve grupe koriste „potpuno drugačiji“ malver, Kaspersky kaže da je CloudSorcerer nova grupa, „verovatno inspirisana“ tehnikama CloudWizarda, ali koja razvija sopstvene „jedinstvene“ alate.

Kaspersky nije otkrio više detalja o ciljevima CloudSourcera, niti je kampanju pripisao određenoj zemlji ili vladi.

Malver koristi GitHub kao svoj server za komandu i kontrolu (C2), rekao je Kaspersky. Takođe se oslanja na legitimne usluge u oblaku kao što su Yandex Cloud i Dropbox za prikriveno praćenje i prikupljanje podataka.

Korišćenje GitHuba i usluga u oblaku „demonstrira dobro planiran pristup sajber špijunaži“, rekli su istraživači.

CloudSorcererov malver napadači ručno pokreću na već zaraženom uređaju. On se sastoji od različitih modula, kao što su komunikacioni modul ili modul za prikupljanje podataka, koji mogu samostalno da obavljaju određene zadatke. Backdoor modul, na primer, prikuplja različite sistemske informacije o uređaju žrtve, kao što su ime računara, korisničko ime i vreme neprekidnog rada sistema.

Hakeri takođe mogu da prikupljaju informacije o fajlovima i folderima žrtava, kopiraju, premeštaju, preimenuju ili brišu fajlove, čitaju podatke iz bilo kog fajla, kreiraju i upisuju podatke u bilo koji fajl, kao i da pokreću dodatne napredne funkcionalnosti.

Sposobnost malvera da prilagođava svoje ponašanje na osnovu procesa u kojem radi ukazuje na „njegovu sofisticiranost“, rekao je Kaspersky.

Takođe nije jasno kako hakeri dobijaju početni pristup ciljanim mrežama i sa kojom su zemljom povezani.

S obzirom na to da su mnoge zapadne kompanije napustile rusko tržište kada je Rusija napala Ukrajinu, izveštaji ruskih kompanija za sajber bezbednost nude retku priliku da se sazna o sajber pretnjama sa kojima se suočavaju lokalne vlasti i kompanije.

Međutim, u slučaju CloudSorcerera, istraživači američke kompanije Proofpoint podelili su dodatna zapažanja o grupi. Oni kažu da su krajem maja primetili kampanju protiv organizacije sa sedištem u SAD u kojoj je korišćen email nalog koji je lažirao „dobro poznatu“ američku organizaciju sa lažnim pozivom na neki događaj kao mamac.

„Uočena aktivnost se preklapa sa detaljima u izveštaju koji je objavio Kaspersky“, rekli su istraživači Proofpointa. Oni pripisuju ovu aktivnost grupi koja se trenutno prati kao UNK_ArbitraryAcrobat.

Foto: Daniil Zameshaev | Unsplash