Старомодные "Скарабеи" ведут кибератаку на пользователей из России

Компанией Symantec была подробно описана многолетняя кибератака, которая была нацелена на русскоязычных пользователей персональных компьютеров. Примечательно, что атаку ведут устаревшими методами. Несмотря на это, хакеры, наверное, добиваются той цели, которую они ставят перед собой.

 

Экспертами антивирусного производителя Symantec было приведено в блоге компании описание того, как действует хакерская группа, которую они называют Scarab («Скарабей»). Именно она с 2012 года настойчиво атакует, причем очень странным образом, русскоязычных пользователей.

 

Первым делом странность кибератак «Скарабеев» в том, что они используют устаревшие методы работы. Для того чтобы атаковать целевые системы, хакеры используют устаревшие эксплойты. А их, как правило, к настоящему моменту производители программного обеспечения уже закрыли. 

 

Как агент для заражения «Скарабеи» применяют инструмент, который также давно устарел. Это почтовая рассылка с файлом Microsoft Word, инфицированным трояном и сжатым в архив RAR.

 

Столь же странным выглядит в этой атаке и другое: эксперты Symantec указывают на точную нацеленность атаки Scarab. Обычная практика хакеров сводится к тому, что атакам подвергаются сразу группы компьютеров и локальные сети как в компаниях, так и в госорганах. В данном случае хакеры подвергают нападению не более чем десяток уникальных персональных компьютеров в месяц. 

 

 

«Скарабей», чтобы проникнуть на чужие компьютеры, применяет старые эксплойты. И даже уже ликвидированные. Несмотря на это, атаки продолжаются годами. Эксперты Symantec подчеркивают, что, несмотря на все странности, хакеры, по-видимому, успешно решают свои задачи, которые они ставят для того, чтобы проникнуть в целевые ПК.

 

Заражение осуществляется через рассылку писем с прикрепленным трояном. Он после запуска может использоваться для того, чтобы установить в систему вредоносное программное обеспечение. Symantec отмечает, что все известные зараженные письма «Скарабеев» прошли через почту «Яндекса».

 

Если компьютер заражен, то троян может собрать и передать информацию о системе, подгрузить другие вредоносные модули и исполнять их, а также отыскать в зараженной системе необходимые файлы, удалить или переместить их.

 

Национальную принадлежность «Скарабеев» не установили. Есть основания предполагать, что они знакомы с китайским языком. Их командные сервера (C&C) находятся преимущественно в Южной Корее. Впрочем, известны случаи их расположения в других странах.

 

Исходя из тем рассылаемых писем, в которых есть вредоносные вложения, некоторые считают, что все пользователи атакуемых компьютеров владеют русским языком и проявляют интерес к военной технике.