Киберкампания с использованием шпионского ПО Win32/Potao нацелена на госслужбы


ESET NOD32Специалистами антивирусной компании ESET было проведено расследование серии киберкампаний с использованием шпионского ПО Win32/Potao. Отметим, атаки с использованием данного вредоноса осуществляются на протяжении последних четырех лет. Жертвами данной кибератаки стали правительство и военные ведомства Украины.

Напомним, Win32/Potao - это уникальный модульный инструмент для кибершпионажа. Атаки с его использованием относятся к типу Advanced Persistent Threat - т.е. постоянные угрозы повышенной сложности. Potao, как и более известные вирусы BlackEnergy и Stuxnet, применялся в масштабных таргетированных киберкампаниях.

Самые первые образцы Potao были выявлены в 2011 году, однако атаки  с его использованием до настоящего времени оставались вне публичного поля. По данным ESET LiveGrid, значительный рост числа заражений наблюдался в 2014-2015 годах. Эксперты антивирусной компании связывают это с добавлением механизма заражения съемных USB-носителей.

Осенью 2013 года были зафиксированы отладочные версии Win32/Potao. По мнению экспертов ESET, атакующие приступили к подготовке таргетированных атак на украинских пользователей.

В 2014 году операторы Potao освоили новый вектор заражения. Ими была создана вредоносная веб-страница MNTExpress, которая имитирует сайт российского сервиса Pony Express. Злоумышленники отправляли потенциальным жертвам SMS-сообщения с вредоносной ссылкой, "трек-кодом" и личным обращением, что указывает на точную нацеленность атаки. Аналогичный сценарий использовался и в марте 2015 года, когда атакующие зарегистрировали домен WorldAirPost.com с дизайном сайта Singapore Post.

Украинский этап "Операции Potao" стартовал в 2014 года. В марте 2015 года эксперты ESET обнаружили образцы Potao на ряде стратегических объектов, включая правительство, военные ведомства и одно из крупнейших информационных агентств. Атаки осуществляются посредством фишинговых сообщений электронной почты с вредоносными вложениями в виде исполняемого файла под видом документов Microsoft Word с привлекающими внимание названиями.

Кибергруппа, стоящая за распространением Potao, по-прежнему активна. Подтверждением этому является образец вредоносного ПО от 20 июля 2015 года, направленный потенциальной жертве в Грузии. В качестве документа-приманки используется pdf-файл.

Обсуждение фишинговой SMS-рассылки в украинской группе Вконтакте

obsujdenie vkontakte


Обновлено (31.07.2015 13:11)