13/10/2023
🔎Исследователи из Check Point обнаружили кибератаку, которая была специально направлена на правительственные организации и телекоммуникационные компании в Центральной Азии. Эта атака была идентифицирована под названием 'Stayin Alive' и началась в 2021 году.
🎯Целью атаки было развертывание вирусов и программ для доставки вредоносных приложений на компьютеры и сети целевых организаций. В качестве мишеней киберпреступники выбрали организации в Узбекистане и Казахстане.
🧪Эксперты отметили, что инфраструктура, используемая в этой атаке, имеет сходство с группой ToddyCat из Китая, которая известна своими атаками на правительственные и военные органы в Европе и Азии с декабря 2020 года.
Атака начинается обычным способом - с фишингового письма. Письмо включает в себя ZIP-файл с законным исполняемым файлом, который использует файл DLL для загрузки вируса. Этот вредоносный программный продукт получил имя CurKeep и загружается с использованием фальшивого файла DLL с именем dal_keepalives.dll.
При более детальном анализе структуры атаки был обнаружен постоянно совершенствующийся арсенал вирусов, таких как CurLu, CurCore и CurLog. Они способны принимать файлы DLL, выполнять команды издалека и запускать процессы, связанные с новыми файлами, в которые записываются данные с сервера.
Также был найден пассивный имплантат с именем StylerServ, который прослушивает пять разных портов (60810, 60811, 60812, 60813 и 60814), чтобы иметь возможность удаленного доступа и получения зашифрованного файла конфигурации.
Пока нет окончательных доказательств связи 'Stayin Alive' с группой ToddyCat, но результаты исследования показывают, что обе группы используют одну и ту же инфраструктуру для своих атак.
В целом, исследователи заключают, что даже опытные хакеры становятся все более заинтересованными в использовании одноразовых загрузчиков, так как это делает обнаружение и прослеживание атак намного сложнее.
#Кибератака #Инфраструктура #Технологии #Безопасность #Интернет
