Исследование ESET: киберпреступники атакуют государственные и новостные сайты

Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении целенаправленных атак на сайты медиа-компаний, государственных учреждений и Интернет-провайдеров. В частности, цели киберпреступников находятся в Европе, на Ближнем Востоке и в Южной Африке.

В этих атаках злоумышленники компрометируют сайты, которые могут посетить потенциальные цели, для дальнейшего заражения их устройств. Некоторые пользователи таких сайтов, вероятно, стали жертвой атаки из-за эксплойта в браузере. Однако ни экплойт, ни финальный компонент обнаружить не удалось.

Стоит отметить, что скомпрометированные вебсайты используются только как первоначальный вектор заражения злоумышленниками своих целей.

Скомпрометированные веб-сайты используются как первоначальный вектор заражения. ESET.

В частности, целями киберпреступников стали сайты СМИ в Великобритании, Йемене и Саудовской Аравии, а также вебресурсы аэрокосмических и военно-технологических компаний в Италии и Южной Африке.

«Злоумышленники также создали фальшивый вебсайт Всемирного медицинского форума MEDICA, проходившего в Германии. Скорее всего, киберпреступникине смогли взломать официальный сайт, поэтому создали поддельный, чтобы вставить свой вредоносный код», – объясняет Матье Фау, исследователь ESET.

Во время кампании 2020 года вредоносное программное обеспечение проверяло операционную систему и браузер. Поскольку этот процесс базировался на программном обеспечении для компьютеров, кампания не была ориентирована на мобильные устройства. В следующий раз злоумышленники, чтобы быть немного незаметнее, начали модифицировать скрипты, которые уже были на скомпрометированных сайтах.

Существует большая вероятность, что киберпреступники являются клиентами Candiru, которая предлагает государственным учреждениям инструменты для кибершпионажа.

 «В блоге Citizen Lab о Candiru в разделе «A Saudi-Linked Cluster?» упоминается фишинговый документ, загруженный на VirusTotal, и несколько доменов, которыми управляют злоумышленники. Доменные имена являются вариациями настоящих сайтов для сокращения URL-адресов и вебаналитики. Та же техника используется злоумышленниками для доменов в обнаруженных атаках», – объясняет исследователь ESET.

Активность этой операции уменьшилась в конце июля 2021 года вскоре после сообщений о деятельности Candiru в блогах Citizen Lab, Google и Microsoft. Вероятно, киберпреступники берут паузу, чтобы усовершенствовать свои инструменты для избежания обнаружения.

Более подробная информация об этих атаках доступна по ссылке.

 

Читайте также:

Вредоносный или безопасный сайт: как проверить и на что обращать внимание

От спам-сообщений до торрентов – 7 самых распространенных способов заражения устройств

Рейтинг Интернет-угроз: самые активные вредоносные программы в 2021