Аналитики компании CyberX рассказали о новой кибершпионской компании, которая получила название BugDrop. Атаки были зафиксированы на территории Украины, России, Саудовской Аравии и Австрии.
Суммарно от рук хакеров пострадали уже более 70 компаний и организаций, включая СМИ, научные учреждения и объекты критической инфраструктуры.
Операторы данной шпионской кампании активируют микрофоны, подключенные к компьютерам жертв, записывают все разговоры и всё, что происходит вокруг, а также похищают документы, пароли, делают скриншоты и так далее. Исследователи пишут, что пока неизвестно, кто именно стоит за атаками, но предполагают, что это могут быть так называемые «правительственные хакеры». Суммарно злоумышленники уже похитили более 600 Гб информации.
Малварь, которую используют операторы BugDrop, распространяется посредством фишинговых писем с вредоносными документами Microsoft Word. Если пользователь попался на удочку хакеров, открыл документ и разрешил работу макросов, малварь проникает в систему (на фоне запускаются Visual Basic скрипты), загружает дополнительные плагины для хищения данных, а затем вся информация жертвы отправляется в Dropbox злоумышленников.
Аналитики пишут, что это весьма умно, так как большинство организаций не сочтут подозрительным Dropbox-трафик. Кроме того, стараясь избежать обнаружения, BugDrop шифрует все установленные DLL.
Еще одной интересной особенностью малвари является использованием техники Reflective DLL Injection. Данную технику ранее использовал вредонос BlackEnergy, атаковавший украинские энергосети в 2015 году, а также червь Stuxnet, в 2010 году нанесший серьезный урон иранской ядерной программе. С детальным отчетом аналитиков CyberX можно ознакомиться здесь.
