Исследователи лаборатории ESET в Монреале обнаружили новый вид вредоносной активности известной киберпреступной группы Sednit. В последнее время злоумышленники стали использовать новый набор эксплойтов для распространения вредоносных программ. При этом используются домены, аналогичные легитимным сайтам, связанных с военной промышленностью, обороной и международными отношениями.
На протяжении последних пяти лет жертвами группы Sednit регулярно становились различные организации преимущественно в Восточной Европе. Хакеры распространяли вредоносное программное обеспечение среди корпоративных пользователей с помощью фишинговых сообщений электронной почты. Письма содержали вложенные файлы Microsoft Word с распространенными эксплойтами, которые использовались для автоматической установки других вредоносных программ. При этом очень часто использовался бэкдор, получивший название Win32/Sednit, также именуемый как Sofacy.
«Недавно мы столкнулись со случаем компрометации легитимных финансовых сайтов. Веб-страницы данных ресурсов содержали вредоносный объект, который перенаправлял посетителей на набор эксплойтов. На базе наших исследований и информации, предоставленной нам группой аналитиков из Google Security Team, мы установили причастность Sednit к данной атаке. Если ранее группа специализировалась только на рассылке фишинговых сообщений с вредоносными вложениями, то теперь хакеры поменяли стратегию», — рассказывает Джоан Калвет, исследователь ESET.
Эксперты ESET детально исследовали вредоносное содержимое, размещенное группой Sednit на сайте крупного финансового учреждения в Польше. Было обнаружено, что в одном из исследуемых объектов используется URL-адрес, очень похожий на адрес авторитетного новостного ресурса о военной промышленности. Вредоносные объекты перенаправляли пользователей на набор эксплойтов, устанавливающих на компьютеры троян Win32/Agent.WLF.
В последние годы наборы эксплойтов все чаще используются киберпреступниками для распространения вредоносных программ, предназначенных для совершения операций финансового мошенничества, рассылки спама, кражи биткоинов и конфиденциальных данных пользователей. Схема кибератак, используемая Sednit, известна под общим названием «watering hole» и заключается в перенаправлении трафика с известного веб-ресурса, часто посещаемого членами одной организации или пользователями из определенной отрасли.
Отметим, что антивирусные решения ESET блокируют подобные попытки перенаправления пользователей со следующим сообщением: