ESET повідомив про виявлення нової активності гурту LuckyMouse
Компанія ESET оголосила про відкриття нового напрямку діяльності групи luckyMouse
Компанія ESET оголосила про відкриття нового напрямку діяльності групи LuckyMouse. Зокрема, команда використовує інструментарій SysUpdate для зараження пристроїв. Об'єктами цієї зловмисної кампанії, що отримала назву EmissarySoldier, були урядові та дипломатичні установи, а також приватні компанії.
За останні кілька років державні установи по всьому світу зіткнулися з низкою значних викликів: швидка цифровізація всіх сфер життя, пандемія COVID-19, яка стала причиною масового переходу на віддалену роботу, кібершпигунство, програми-вимагачі і постійні атаки на ланцюжки поставок. Однак за останні кілька років найсерйознішим випробуванням для кібербезпеки урядових організацій стали групи APT, які поширюють надскладні загрози.
Однією з таких груп є LuckyMouse, яка стала відома тим , що здійснює цілеспрямовані атаки на великі організації по всьому світу. Щоб заразити користувачів, зловмисники компрометують веб-сайти, які, ймовірно, будуть відвідувати жертви. Крім того, LuckyMouse сканує мережу, щоб знайти вразливі сервери, до яких можна отримати доступ через Інтернет. Після компрометації машин кіберзлочинці розгортають на них один зі своїх шкідливих інструментів.
В ході вивчення діяльності цих зловмисників експерти ESET проаналізували інструментарій SysUpdate, перші зразки якого були виявлені в 2018 році. З тих пір кіберзлочинці постійно вдосконалювали свої інструменти і розширювали функціонал. У поточній версії інструментів LuckyMouse використовується три компоненти: законне додаток, вразливе до компромісу DLL, спеціальна DLL, яка завантажує компонент, і двійковий компонент.
Дослідники ESET також виявили, що деякі з скомпрометованих машин працювали під керуванням Microsoft SharePoint, доступ до якого можна отримати через Інтернет. У 2019 і 2020 роках в цій програмі було виявлено кілька вразливостей віддаленого виконання коду. Хоча доказів використання цих експлойтів поки немає, компоненти LuckyMouse були розгорнуті через ті ж інформаційні служби Інтернету (IIS), які обслуговують Microsoft SharePoint.
Через ризик подальшого поширення цього шкідливого програмного забезпечення важливо захистити сервери, до яких можна отримати доступ через Інтернет. Крім того, слід використовувати EDR-розчин для своєчасного виявлення підозрілих процесів.
