Dark River — новая группировка, атакующая российский ОПК, создала высокотехнологичный бэкдор: исследование Positive Technologies
Новая группировка — оператор опасного ВПО, которую исследователи назвали Dark River, целенаправленно атакует предприятия российского оборонного комплекса, инвестируя серьезные финансовые и интеллектуальные ресурсы в развитие своего инструментария. Проработанные на высоком уровне архитектура и транспортная система позволяют бэкдору незаметно действовать в скомпрометированной инфраструктуре в течение долгого времени с целью шпионажа и кражи конфиденциальной информации.
Специалисты PT Expert Security Center (PT ESC) впервые подробно исследовали внутреннее устройство и механизмы работы сложного модульного бэкдора MataDoor, обнаруженного при расследовании инцидента в прошлом году. Dark River тщательно подходит к выбору своих жертв и действует точечно. В настоящее время известно несколько случаев применения MataDoor в кибератаках, все они были нацелены на крупные организации, связанные с оборонно-промышленным комплексом. Бэкдор хорошо маскируется: имена его исполняемых файлов похожи на названия легального ПО, установленного на зараженных устройствах, а ряд образцов имеет действительную цифровую подпись. Чтобы максимально усложнить обнаружение зловреда, его разработчики использовали различные виды утилит-упаковщиков, скрывающих вредоносный код.
«Главная особенность бэкдора MataDoor в том, что он имеет сложную архитектуру, — подчеркнул Максим Андреев, старший специалист отдела исследования угроз ИБ Positive Technologies. — Анализ кода показывает, что в разработку этого инструмента были вложены серьезные ресурсы. Это хорошо продуманный вредонос с глубокой индивидуальной разработкой в плане транспорта, скрытности и архитектуры. Группировка не стала использовать коробочные решения, многие протоколы намеренно реализованы разработчиком самостоятельно. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно».
Исследователи считают, что внедрение бэкдора начинается с фишингового письма, к которому злоумышленники прикрепляют документ в формате DOCX, посвященный сфере деятельности атакованного предприятия. Особенность бэкдора заключается в том, что он побуждает получателя включить режим редактирования документа — просто открыть вложение недостаточно. Это является необходимым условием для отработки эксплойта. Похожие письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались на российские предприятия ОПК в августе-сентябре 2022 года. Например, злоумышленники намеренно использовали в тексте документа неконтрастный шрифт. Чтобы его прочитать, пользователь менял цвет шрифта, запуская режим редактирования. Одновременно с этим происходила загрузка и выполнение вредоносной полезной нагрузки с контролируемого киберпреступниками ресурса.
Для защиты корпоративных систем от внедрения бэкдора MataDoor эксперты Positive Technologies рекомендуют принимать проактивные меры: использовать песочницы, позволяющие выявлять даже такое сложное ВПО с помощью анализа поведения файлов в виртуальной среде, а также анализаторы трафика. Dark River применяет почтовый фишинг, поэтому специалисты советуют придерживаться стандартных правил кибергигиены: осторожнее относиться к входящим электронным письмам, сообщениям в мессенджерах и социальных сетях, не переходить по сомнительным ссылкам и не открывать подозрительные вложения. Поскольку в некоторых атаках киберпреступники использовали взломанные почтовые ящики, необходимо учесть, что они могут прибегнуть к социальной инженерии. В связи с этим стоит также тщательно оценивать следующие аспекты: есть ли в письме нетипичные для переписок в вашей компании вложения, верна ли подпись, мог ли вам написать отправитель и насколько его вопрос в ваших компетенциях.
Теги:
похожие материалы
Хакеры взломали Европейское космическое агентство и выставили на продажу сотни гигабайт данных
Европейское космическое агентство сообщило о крупном инциденте, в ходе которого злоумышленники получили доступ к части его внешних серверов и похитили большие массивы данных.
Мошенники устроили «распродажу» невостребованных новогодних подарков в мессенджерах
Киберполиция Санкт-Петербурга предупредила о новой волне мошенничества, в рамках которой злоумышленники предлагают пользователям купить электронику и бытовую технику по бросовым ценам под предлогом распродажи «зависших» новогодних подарков.
Уязвимость WhisperPair ставит под угрозу миллионы Bluetooth-устройств по всему миру
Исследователи из группы Computer Security and Industrial Cryptography при Католическом университете Лёвена выявили критическую уязвимость в протоколе Google Fast Pair, получившую обозначение CVE-2025-36911 и прозванную WhisperPair.
Microsoft и правоохранители вывели из строя крупный сервис киберпреступников RedVDS
Microsoft объявила о совместной с международными правоохранительными органами операции по нейтрализации глобального сервиса RedVDS, который предоставлял киберпреступникам доступ к виртуальным рабочим столам за подписку и использовался для реализации масштабных мошеннических схем.
Logitech признала проблему с сертификатами на macOS, мешающую запуску G-Hub
Пользователи оборудования Logitech на macOS столкнулись с проблемой, из-за которой фирменное программное обеспечение G-Hub не запускается или работает некорректно.
Исследователи предупреждают о новой волне атак, связанных с цифровым обслуживанием управляющих компаний
Специалисты по кибербезопасности из сервиса Angara MTDR зафиксировали активизацию атак, связанных с изменениями в жилищном законодательстве.
Телекоммуникации стали главной целью кибератак в России
Центр мониторинга и реагирования на кибератаки RED Security SOC зафиксировал резкий сдвиг в приоритетах киберпреступников.
В Max опровергли информацию о взломе мессенджера
В пресс-службе национального мессенджера Max заявили, что информация о якобы взломанной платформе и утечке данных более 15 млн пользователей является недостоверной.
В реестр отечественного ПО включили мобильную ОС на базе Android Open Source Project
Минцифры России официально включило в единый реестр российского программного обеспечения мобильную операционную систему «Око», разработанную компанией «Байтэрг» (с июня 2025 г.
Ledger подтвердил утечку данных клиентов через партнёра по оплатам
Производитель криптовалютных аппаратных кошельков Ledger подтвердил, что данные части его клиентов могли быть скомпрометированы в результате инцидента с третьей стороной - компанией Global-e, которая обрабатывает заказы в интернет-магазине Ledger.