/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fdf7df8a7b3894616aec94648efc468a0.jpg)
Хакери з росії атакують українців активатором Windows KMS та підробленими оновленнями
Кібершпигунська група Sandworm з росії націлена на українських користувачів Windows. Вона розповсюджує трояни в активаторах KMS та фейкових оновленнях
Ці атаки, ймовірно, почалися наприкінці 2023 року. Аналітики EclecticIQ пов’язують їх з хакерами Sandworm за ознаками дублювання інфраструктури, узгоджених тактик, методів та процедур, а також частого використання облікових записів ProtonMail для реєстрації доменів, які служать для атак.
Зловмисники також користувалися завантажувачем BACKORDER для розгортання зловмисного програмного забезпечення DarkCrystal RAT (DcRAT) та «символами, що посилаються на російськомовне середовище збірки».
EclecticIQ виявив сім кампаній розповсюдження зловмисного програмного забезпечення, пов’язаних з тим самим кластером зловмисної активності, кожна з яких використовує схожі приманки та процедури. 12 січня 2025 року аналітики спостерігали зараження жертв трояном віддаленого доступу DcRAT під час атак з викраденням даних із використанням домену з помилками.
Після розгортання на пристрої жертви фальшивий інструмент активації KMS відтворює фальшивий інтерфейс активації Windows, встановлює завантажувач зловмисного програмного забезпечення та вимикає Windows Defender у фоновому режимі, після чого завантажується головне ПЗ RAT.
Кінцевою метою атак є збір конфіденційної інформації з інфікованих комп’ютерів та її передавання на контрольовані зловмисниками сервери. Зловмисне програмне забезпечення зберігає натискання клавіш, файли cookie браузера, історію браузера, збережені облікові дані, паролі FTP, системну інформацію та знімки екрана.
Використання Sandworm зловмисних активаторів Windows, ймовірно, було спричинене величезним потенціалом для атак через інтенсивне використання піратського програмного забезпечення в Україні, навіть в урядовому секторі.
«Багато користувачів, включно з підприємствами та критично важливими організаціями, звернулися до піратського програмного забезпечення з ненадійних джерел, надаючи супротивникам, таким як Sandworm (APT44), чудову можливість вставляти зловмисне програмне забезпечення в широко використовувані програми. Ця тактика робить можливим широкомасштабне шпигунство, крадіжку даних і компрометацію мережі, які безпосередньо загрожують національній безпеці України, критичній інфраструктурі та стійкості приватного сектора», — зазначає EclecticIQ.
Sandworm (також відома як UAC-0113, APT44 і Seashell Blizzard) — хакерська група, яка діє принаймні з 2009 року та входить до складу військової частини 74455 головного розвідувального управління (ГРУ), російської військової розвідки. Звіт EclecticIQ включає детальний аналіз атак та роботи ПЗ.
Джерело: BleepingComputer
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F11449b4d7e2e3511c2c5dd8d1d47f4a4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F81%2Fa15ed273406dec7cf97086cff2896a53)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F48dbda753e8f1c5443fcb0617be187dc.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F1c3ef2943d61274cdb4e1b40a58c2626.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F30%2F65ea3db3c9f557f2e0129e15fd47c721)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F74%2F9817ba60063510655ad30ce08022782c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F11%2F0a4f605a96df688bf2dbea3da23386ae)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F130%2Fb426165e5dfc85afc1711bace0e84278.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fe027d1ccb5ee3a68841838b5538f0fe8.jpg)