- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
Один из ISO, которые злоумышленники распространяли в рамках этой кампании, был размещен на украинском торрент-трекере toloka[.]to анонимным пользователем. По словам исследователей из Mandiant, этот образ отключает системы безопасности Windows, автоматические обновления и проверки лицензии.
Стоит отметить, что злоумышленники не пытались заработать на кибератаках – украденную ими информацию тяжело монетизировать, а полезные нагрузки не содержат вымогательского ПО или криптомайнеров.
Проведя анализ нескольких зараженных устройств, специалисты Mandiant обнаружили запланированные задачи, установленные в середине июля 2022 года. Они предназначены для получения команд, выполняемых через PowerShell.
После первоначальной разведки в системе жертвы хакеры разворачивают бэкдоры Stowaway, Beacon и Sparepart, позволяющие закрепиться в системе, выполнять произвольные команды и красть ценную пользовательскую информацию.
Троянизированные образы Windows 10 распространяются через украинские и русскоязычные торрент-трекеры. Такая стратегия отличается от привычных тактик кибершпионов, размещающих полезные нагрузки на своей инфраструктуре.
И хотя вредоносные установщики не были нацелены конкретно на украинское правительство, хакеры проводили анализ зараженных устройств, а затем атаковали те, которые принадлежали работникам правительственных структур.
