/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F37c9adc7855c4e21307840a34300f742.jpg)
Хакеры из россии атакуют украинцев активатором Windows KMS и поддельными обновлениями
Кибершпионская группа Sandworm из россии нацелена на украинских пользователей Windows. Она распространяет трояны в активаторах KMS и фейковых обновлениях
Эти атаки, вероятно, начались в конце 2023 года. Аналитики EclecticIQ связывают их с хакерами Sandworm по признакам дублирования инфраструктуры, согласованных тактик, методов и процедур, а также частого использования учетных записей ProtonMail для регистрации доменов, которые служат для атак.
Злоумышленники также использовали загрузчик BACKORDER для развертывания вредоносного программного обеспечения DarkCrystal RAT (DcRAT) и «символами, ссылающимися на русскоязычную среду сборки».
EclecticIQ обнаружил семь кампаний по распространению вредоносного программного обеспечения, связанных с одним и тем же кластером вредоносной активности, каждая из которых использует похожие приманки и процедуры. 12 января 2025 года аналитики наблюдали заражение жертв трояном удаленного доступа DcRAT во время атак с похищением данных с использованием домена с ошибками.
После развертывания на устройстве жертвы фальшивый инструмент активации KMS воспроизводит фальшивый интерфейс активации Windows, устанавливает загрузчик вредоносного программного обеспечения и отключает Windows Defender в фоновом режиме, после чего загружается главное ПО RAT.
Конечной целью атак является сбор конфиденциальной информации с инфицированных компьютеров и ее передача на контролируемые злоумышленниками серверы. Вредоносное программное обеспечение сохраняет нажатия клавиш, файлы cookie браузера, историю браузера, сохраненные учетные данные, пароли FTP, системную информацию и снимки экрана.
Использование Sandworm злонамеренных активаторов Windows, вероятно, было вызвано огромным потенциалом для атак из-за интенсивного использования пиратского программного обеспечения в Украине, даже в правительственном секторе.
«Многие пользователи, включая предприятия и критически важные организации, обратились к пиратскому программному обеспечению из ненадежных источников, предоставляя противникам, таким как Sandworm (APT44), отличную возможность вставлять вредоносное программное обеспечение в широко используемые приложения. Эта тактика делает возможным широкомасштабный шпионаж, кражу данных и компрометацию сети, которые непосредственно угрожают национальной безопасности Украины, критической инфраструктуре и устойчивости частного сектора», — отмечает EclecticIQ.
Sandworm (также известная как UAC-0113, APT44 и Seashell Blizzard) — хакерская группа, которая действует по крайней мере с 2009 года и входит в состав военной части 74455 главного разведывательного управления (ГРУ), российской военной разведки. Отчет EclecticIQ включает детальный анализ атак и работы ПО.
Источник: BleepingComputer
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F65d43ea88e9f36956dc3ab121d8eb5a1.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F292d3532c76663c820f6dfa1008d8afe.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2F5fad8f88b68f80654c4a514837a7e914.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F30%2F735f85fcc367cfdf636e8ef0bedb8d57)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2Fa4fdcb85cf12331e4dedf36c79aa07a4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F432%2F8724383acae6cf0c42066408a81593e9.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Ff1195e4599265c8e97d414d109f7eaab.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fb758333b604955fb43a56794dc1cf317.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F45%2Fdc429646ea402beb078227bc1fdf6108.png)