Целенаправленная атака поразила системы министерств и дипломатических учреждений
Компания, предоставляющая услуги информационной безопасности, Trend Micro заявила об обнаружении серии атак, направленных на кражу конфиденциальных данных. По информации исследователей, неизвестная группа мошенников использует загрузчик Lurid, позволяющий получить контроль над целевой системой.
В большинстве случаев вредоносная программа распространяется с помощью спам-сообщений. К электронным сообщениям прикрепляются файлы, несущие в себе вредоносный код. Злоумышленники часто используют уязвимости в Adobe Reader и продуктах Microsoft Office. Среди часто эксплуатируемых уязвимостей, исследователи Trend Micro отмечают CVE-2009-4324 и CVE-2010-2883. Также, по данным исследования, при атаках на сильно защищенные объекты хакеры могут воспользоваться уязвимостью нулевого дня.
При проведении атаки на целевую систему было обнаружено два основных вектора. В одном из векторов вредоносная программа устанавливала себя, как служба Windows. В другом выполнялось копирование в системный каталог, содержащий элементы автозагрузки системы. Также было определено наличие специального маркера, по всей видимости, позволявшего определить личность, или группу личностей, успешно заразивших очередную машину.
После компрометации системы злоумышленники получали возможность выполнять на системе различные команды от имени администратора, а также распространять вирус внутри локальной сети. По HTTP протоколу осуществляется связь с командными серверами, через которую преступники получают важные конфиденциальные данные.
Сотрудники Trend Micro сообщают о том, что организаторам атак удалось скомпрометировать 1465 системы в 61 стране мира. IP-адреса 47 жертв принадлежат дипломатическим миссиям, министерствам и учреждениям, занимающимся космическими разработками. Наибольшее количество зараженных систем находится в бывших республиках СССР – России, Украине, Казахстане и т.д.
Полную версию исследования Trend Micro можно просмотреть здесь .
www.securitylab.ru