Компания ESET ― лидер в области информационной безопасности ― обнаружила фишинговую атаку на политические организации, которую осуществила APT-группа MirrorFace. В частности, злоумышленники отправляли электронные письма, который содержали бекдор LODEINFO для доставки дополнительных вредоносных программ, а также перехвата учетных данных и похищения документов и электронных писем жертв. Целью группы MirrorFace является шпионаж и похищение важных файлов.
Киберпреступники маскировались под представителя из PR-отдела определенной политической партии и просили получателей электронных писем распространить в своих соцсетях видео с вложения. Все фишинговые сообщения содержали вредоносное вложение, которое после выполнения развертывало бэкдор на зараженном устройстве.
Следует отметить, что бекдор LODEINFO постоянно совершенствуется. Его функциональные возможности позволяют похищать скриншоты, считывать нажатия клавиатуры, завершать процессы, перехватывать файлы, открывать дополнительные документы и шифровать определенные файлы и папки. Кроме того, во время атаки использовалась ранее незафиксированная угроза MirrorStealer для похищения учетных данных. Вредоносная программа способна похищать учетные данные из различных приложений, таких как браузеры и сервисы электронной почты.
«При расследовании этой атаки нам удалось обнаружить дополнительные тактики, методы и процедуры группы MirrorFace, в частности развертывание и использование дополнительного вредоносного программного обеспечения и инструментов для сбора и перехвата ценных данных жертв. Кроме того, исследование показало некоторую невнимательность киберпреступников, которые оставляли следы и допускали разные ошибки», — комментирует исследователь компании ESET.
Вредоносное программное обеспечение LODEINFO используется исключительно для атак на организации в Японии, в том числе медиа-компании, предприятия в области обороны, аналитические центры, дипломатические организации и академические учреждения.
Для противодействия подобным атакам APT-групп компаниям важно повышать уровень осведомленности своих сотрудников об основных правилах безопасности, в частности защиты от фишинговых атак, и создать многоуровневую систему киберзащиты. В частности, организациям уже сейчас следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ угроз, выявление и реагирование, а также предотвращение потери конфиденциальных данных.