Шпионы из CopyKittens следят за членами Бундестага и турецкими дипломатами
Эксперты Trend Micro и ClearSky опубликовали отчет о деятельности связанной с Ираном кибергруппировки CopyKittens, которая за последние четыре года провела ряд атак на правительственные структуры в различных странах мира, информационные ресурсы в Германии и Турции, а также на крупные IT-компании и сотрудников ООН.
Первая информация о CopyKittens появилась в ноябре 2015 года, но, по мнению специалистов, группировка активна по меньшей мере с 2013 года. Изначально хакеры атаковали преимущественно цели в Израиле, в том числе дипломатов и исследователей, но затем расширили поле деятельности на Саудовскую Аравию, США, Иордан и Германию. В список интересов группировки входят госструктуры, научные учреждения, оборонные компании и подрядчики, муниципальные власти, IT-компании и сотрудники Организации Объединенных Наций.
Для инфицирования целевых устройств злоумышленники используют различные методы, в том числе целевую фишинговую рассылку, атаки класса watering hole (компрометация сайтов, посещаемых потенциальными жертвами), фальшивые учетные записи в соцсетях и взлом почтовых ящиков. Группировка комбинирует разные методы и атакует жертву до тех пор, пока не добьется поставленной цели.
В ряде случаев хакеры инфицировали компьютеры жертвы вредоносным ПО через вредоносные документы, эксплуатирующие различные уязвимости, в том числе CVE-2017-0199 в пакете MS Office. Арсенал группировки включает как собственные хакерские инструменты (бэкдор TDTESS, троян для удаленного доступа Matryoshka v1, инструмент Vminst и пр.), так и доступные инструменты, в частности фреймворки Cobalt Strike и Metasploit, а также инструмент Mimikatz.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш