В частности, в ходе атак были задействованы как ранее неизвестный вредоносный код под названием BrockenDoor, так и уже хорошо известные бэкдоры — Remcos и DarkGate. Эти инструменты позволяют злоумышленникам осуществлять скрытое удаленное управление зараженными устройствами, получая доступ к личным данным и важным корпоративным материалам, пишет Telecom Daily.
Чаще всего атака начиналась с фишинговых писем, которые якобы приходили от авторитетных компаний, предлагающих решения для автоматизации бизнеса. Получателями подобных сообщений являлись организации, занимающиеся внедрением технологий автоматизации у своих клиентов, а также фирмам, которые могут предлагать техническую поддержку и консультации. В письме содержалась просьба ознакомиться с неким техническим заданием, которое было предоставлено в прикрепленном архиве.
В некоторых случаях в архиве находился лишь один исполняемый файл, разработанный для запуска атаки с использованием техники, известной как Right-to-Left Override (RLO). Этот метод позволяет злоумышленникам манипулировать отображением файлов, используя специальный непечатный символ кодировки Unicode. Хотя RLO обычно применяется при работе с языками, где текст читается справа налево, как арабский или иврит, в этом контексте он использовался для подмены названий и расширений файлов. В результате, пользователи открывали файл, не подозревая о наличии вредоносного кода.
В другой вариации таких атак в архиве находилась визитная карточка компании, документ в формате PDF и LNK-файл (ярлык). При нажатии на этот ярлык активировался вредоносный код, что запускало цепочку заражения устройства.
Наблюдая за действиями злоумышленников, эксперты «Лаборатории Касперского» отметили, что они использовали различные бэкдоры, включая популярный троянец удаленного доступа Remcos и загрузчик DarkGate, а также новый вредоносный код BrockenDoor. Это разнообразие инструментов дает им возможность эффективно получать доступ к системам жертв и похищать данные.
Злоумышленники применяли архивы, которые популярные архиваторы не обрабатывают должным образом, в результате чего пользователи видят корректные названия файлов и могут неверно оценить их безопасность, объяснил представитель компании. Он добавил, что, хотя атаки не могут быть отнесены к какой-либо известной киберпреступной группе, специалисты намерены внимательно следить за развитием данной схемы.
Ранее мы писали о том, что во втором квартале 2024 года злоумышленники активно атаковали телекоммуникационную отрасль — 32 % от общего числа DDoS-атак, установили в аналитическом центре компании StormWall.
