Эксперты выявили шпионскую кампанию против российского МСБ

Эксперты компании следят за деятельностью мошенников с 2018 года. Отмечается, что группа кибершпионов сейчас стала особенно активной. Российскими организациями DeathStalker заинтересовалась в этом году.

Тактика шпионской кампании включают несколько шагов:

• заражение происходит через фишинговые письма, содержащие архивы с вредоносными файлами;
• при нажатии на ярлык выполняется вредоносный скрипт, происходит загрузка вредоносного ПО;
• через ПО атакующие получают контроль над устройством жертвы.

Эксперты выявили несколько инструментов, используемых DeathStalker. Это вредоносные семейства Powersing, Evilnum и Janicab. Powersing — это имплант на базе PowerShell. Его функционал позволяет делать скриншоты на заражённом устройстве и выполнять скрипты PowerShell. Прежде чем начать атаку, злоумышленники проверяют с его помощью, могут ли они тайно выполнять действия в системе.

Далее атакующие размещают в традиционных соцсетях, сервисах для ведения блогов и мессенджерах так называемые резолверы — зашифрованную информацию о настоящих командных центрах. С их помощью они могут быстро и незаметно совершить вредоносные действия.

Пример тайного резолвера:

Для противодействия DeathStalker эксперты рекомендуют организациям ограничить или отключить возможность использования скриптовых языков, таких как powershell.exe и cscript.exe. Также следует принять другие меры:

• предоставить сотрудникам, отвечающим за безопасность, доступ к самым свежим данным о киберугрозах;
• для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение;
• регулярно проводить для сотрудников тренинги по информационной безопасности, в том числе с симулированием ситуации фишинговой атаки.