Компания Symantec описала многолетнюю кибер-атаку, нацеленную на русскоязычных пользователей ПК. Хотя атака ведется устаревшими методами, хакерам, видимо, удается достигать своих целей. Эксперты антивирусного производителя Symantec опубликовали в блоге компании описание деятельности хакерской группы, названной ими Scarab («Скарабей»), которая с 2012 г. проводит странную атаку на русскоязычных пользователей. Главная странность кибер-атак «Скарабеев» - использование устаревших методов работы. Для атаки на целевые системы хакеры применяют устаревшие эксплойты, которые, как правило, к нынешнему моменту уже закрыты производителями ПО. В качестве агента заражения «Скарабеи» также используют устаревший инструмент: почтовую рассылку с инфицированным трояном файлом Microsoft Word, сжатым в архив RAR. Другой специфической чертой атаки Scarab эксперты Symantec называют ее точную нацеленность. В отличие от обычной практики, когда атакам подвергаются группы компьютеров и локальные сети в компаниях и госорганах, в случае со «Скарабеем» хакеры нападают не более, чем на 10 уникальных ПК в месяц. Никаких признаков, что через них заражаются их соседи по локальной сети, нет. Несмотря на то, что группа «Скарабей» для проникновения на чужие компьютеры использует старые и даже ликивидированные эксплойты, их атаки продолжаются уже несколько лет. Эксперты Symantec замечают, что, несмотря на все странности и недочеты в организации кампании, хакерской группировке, видимо, удается успешно решать свои задачи по проникновению в целевые ПК. Для заражения компьютеров своих жертв «Скарабеи» применяют троян, который в номенклатуре Symantec называется Trojan.Scieron и Trojan.Scieron B. Заражение происходит путем рассылки писем с прикрепленным трояном, который, после запуска может использоваться для установки в систему дополнительного вредоносного ПО. Интересно, что, по свидетельству Symantec, все известные зараженные письма «Скарабеев» были отправлены из почты «Яндекса». В зараженном ПК троян способен собирать и передавать хозяевам информацию о системе, подгружать дополнительные вредоносные модули и исполнять их, находить в зараженной системе нужные файлы, удалять или перемещать определенные файлы. Национальная принадлежность «Скарабеев» не установлена, однако, по ряду признаков, они знакомы с китайским языком, пишут эксперты Symantec в блоге компании. Их командные сервера (C&C) расположены, главным образом, в Южной Корее, хотя наблюдались случаи их размещения на территориях других стран. Авторы блога Symantec не уточняют, по какому признаку хозяева «Скарабея» выбирают своих жертв. Однако, зная темы рассылаемых ими писем с вредоносными вложениями, можно предположить, что все пользователи атакуемых ПК владеют русским языком и интересуются вопросами военной техники.
Источник