Группировка APT 28 вооружилась новым трояном

Специалисты исследовательского подразделения Unit 42 компании Palo Alto Networks раскрыли подробности о появившемся в арсенале «русских хакеров» новом вредоносном ПО. По встречающемуся в коде слову вредонос был назван исследователями Cannon.

Cannon представляет собой троян для сбора информации о системе и создания скриншотов и используется преступниками в рамках шпионской кампании против правительственных организаций в Европе и США как минимум с прошлого месяца. По словам исследователей, троян был взят на вооружение группировкой APT 28, также известной как Fancy Bear и Sofacy и связываемой ИБ-экспертами с правительством РФ.

Для распространения Cannon преступники используют фишинговые письма, эксплуатирующие недавнее крушение самолета авиакомпании Lion Air. Письма содержат вложение Lion Air Boeing 737.docx, а их автором указан некий Joohn.

При попытке открыть документ появляется сообщение, что он был создан в старой версии Microsoft Word, и для его просмотра нужно активировать макросы. Когда пользователь соглашается включить макросы, запускается процесс установки трояна. С целью обхода обнаружения вредонос устанавливается на систему только поле завершения сеанса Word.

Наряду с Cannon в данной кампании используется еще один вредонос – Zebrocy, уже встречавшийся в операциях, проводимых APT 28. Cannon функционирует подобно Zebrocy, но в отличие от него устанавливает связь с C&C-сервером для получения инструкций. Каждые 10 секунд вредонос делает скриншоты и каждые пять минут собирает данные.

Исследователи не раскрывают ни характер похищаемой информации, ни данные об атакованных правительствах.

Источник