Набирает обороты масштабная кибершпионская кампания Sharpshooter

Исследователи компании McAfee сообщили о кампании кибершпионажа, получившей название Sharpshooter (слово переводится как «меткий стрелок»). Неизвестные киберпреступники атакуют компании, имеющие отношение к таким отраслям критической инфраструктуры как ядерная энергетика, оборонная промышленность, нефтегазовая индустрия и финансовый сектор. Атаки осуществляются по всему миру, но акцент явно делается на организации, расположенные в США, либо на те, языком общения в которых по умолчанию является английский. На первом этапе ключевые руководители компании получают тщательно сфабрикованные фишинговые письма – якобы от известного агентства по подбору специалистов на должности топ-менеджеров.

Письмо содержит вредоносный документ Word, при открытии которого в память устройства внедряется шпионский модуль, ответственный за связь с командным сервером киберпреступников и загрузку основной части вредоносного ПО. Это зловред, известный как Rising Sun, который похищает информацию и отслеживает активность инфицированных компьютеров. В McAfee подчеркивают, что пока организаторы атаки ограничиваются именно сбором информации: никаких действий, связанных с попытками саботажа или причинения ущерба инфраструктуре не зафиксировано. Впрочем, предугадать дальнейшие планы киберпреступников невозможно.

Сразу несколько зацепок указывают на принадлежность к атакам группировки Lazarus, действующей, предположительно, при поддержке северокорейских властей. Так, установлено, что вредоносные документы во вложениях к фишинговым письмам созданы с помощью редактора Microsoft Word, имеющего корейскую локализацию. А исходный код загружаемых зловредов имеет много общего с исходными кодами вредоносного ПО, использованного ранее хакерами Lazarus. Однако эксперты McAfee сомневаются в том, что все настолько просто. Они полагают, что указания на Lazarus слишком уж очевидны, и скорее речь идет о попытке направить расследование по ложному следу.

Источник: The Register