Компания, предоставляющая услуги информационной безопасности, Trend Micro заявила об обнаружении серии атак, направленных на кражу конфиденциальных данных. По информации исследователей, неизвестная группа мошенников использует загрузчик Lurid, позволяющий получить контроль над целевой системой.
«Загрузчик Lurid», который также часто называют “Enfal” – это широко известный вид вредоносного ПО. Однако в отличие от, например, ZeuS и некоторых ответвлений TDSS, его открытый код нельзя купить через обычные каналы приобретения вирусных продуктов. В прошлом были зафиксированы случаи, когда Enfal использовался для проведения целевых атак на государственные и негосударственные структуры США. Прямой связи между организаторами настоящих и прошлых атак специалисты Trend Micro не обнаружили.
В большинстве случаев вредоносная программа распространяется с помощью спам-сообщений. К электронным сообщениям прикрепляются файлы, несущие в себе вредоносный код. Злоумышленники часто используют уязвимости в Adobe Reader и продуктах Microsoft Office. Среди часто эксплуатируемых уязвимостей, исследователи Trend Micro отмечают CVE-2009-4324 и CVE-2010-2883. Также, по данным исследования, при атаках на сильно защищенные объекты хакеры могут воспользоваться уязвимостью нулевого дня.
При проведении атаки на целевую систему было обнаружено два основных вектора. В одном из векторов вредоносная программа устанавливала себя, как служба Windows. В другом выполнялось копирование в системный каталог, содержащий элементы автозагрузки системы. Также было определено наличие специального маркера, по всей видимости, позволявшего определить личность, или группу личностей, успешно заразивших очередную машину.
После компрометации системы злоумышленники получали возможность выполнять на системе различные команды от имени администратора, а также распространять вирус внутри локальной сети. По HTTP протоколу осуществляется связь с командными серверами, через которую преступники получают важные конфиденциальные данные.
Сотрудники Trend Micro сообщают о том, что организаторам атак удалось скомпрометировать 1465 системы в 61 стране мира. IP-адреса 47 жертв принадлежат дипломатическим миссиям, министерствам и учреждениям, занимающимся космическими разработками. Наибольшее количество зараженных систем находится в бывших республиках СССР – России, Украине, Казахстане и т.д.
Полную версию исследования Trend Micro можно просмотреть здесь .
Via Security Lab
Горячие темы