Нещодавні дослідження Kaspersky показують, що загроза, що стоїть за кампанією CommonMagic, розширює свою шкідливу діяльність як на регіональному рівні, так і з технічної точки зору.
За їх словами, нещодавно виявлений фреймворк «CloudWizard» поширив свою віктимологію на організації в центральній та західній Україні; поки що постраждали підприємства в зоні російсько-українських бойових дій. Крім того, експерти Kaspersky змогли пов’язати спочатку невідомого актора з попередніми кампаніями APT, такими як Operation BugDrop і Operation Groundbait (Prikormka).
Ще в березні цього року Касперський повідомив про нову APT-кампанію в російсько-українській зоні бойових дій під назвою CommonMagic, яка використовує PowerMagic і імпланти CommonMagic для шпигунських цілей. Кампанія була активна з вересня 2021 року і тепер використовує раніше невідоме зловмисне програмне забезпечення для збору даних цільових осіб.
Framework CloudWizard виявлено вперше
Кампанія ATP, яку зараз виявлено, використовувала модульну структуру під назвою CloudWizard. Kaspersky виявив у цій структурі загалом дев’ять модулів, кожен з яких відповідає за певні шкідливі дії, такі як збір файлів, клавіатурний журнал, створення знімків екрана, запис мікрофона та крадіжка паролів. Один із цих модулів спрямований на викрадання даних з облікових записів Gmail. Витягуючи файли cookie Gmail із баз даних браузера, цей модуль може отримати доступ до журналів активності, списків контактів і всіх повідомлень електронної пошти, пов’язаних із цільовими обліковими записами.
Паралелі між CloudWizard, Groundbait і BugDrop
Подальший аналіз, проведений експертами Kaspersky з безпеки, також показує, що зараз ця кампанія має розширений розподіл жертв. Досі об’єктами нападу були Донецька, Луганська та Кримська області, зараз також постраждали окремі особи, дипломатичні установи та дослідницькі організації в Західній і Центральній Україні. Крім того, експерти змогли визначити чіткі збіги між CloudWizard і двома раніше задокументованими кампаніями: Operation Groundbait і Operation BugDrop. Подібності включають паралелі в коді, іменуванні файлів і списку, розміщенні українськими хостинг-сервісами та спільних профілях жертв у західній і центральній Україні та в регіоні конфлікту в Східній Європі.
Крім того, CloudWizard також має певну схожість з нещодавно відкритою кампанією CommonMagic. Деякі розділи коду ідентичні; обидва використовують ту саму бібліотеку шифрування, дотримуються схожого формату іменування файлів і мають спільні цільові місця у східноєвропейській зоні конфлікту.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
Одна група - багато схожих атакувальних кампаній
З цього експерти Касперського роблять висновок, що шкідливі кампанії Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic і CloudWizard пов’язані з одним і тим же активним суб’єктом загрози.
«Актор загрози, відповідальний за ці атаки, постійно здійснює свою діяльність у сфері кібершпигунства, безперервно вдосконалюючи свій інструментарій і націлюючись на конкретні об’єкти, які його цікавлять, протягом п’ятнадцяти років», – пояснює Георгій Кучерін, експерт із безпеки Global Research & Analysis Team (GReAT). Kaspersky. «Геополітичні чинники продовжують залишатися основною рушійною силою APT-атак. Враховуючи панівну напруженість у зоні російсько-українського конфлікту, ми очікуємо, що цей гравець продовжить свою діяльність у найближчому майбутньому».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/