Дослідники лабораторії ESET в Монреалі виявили новий вид шкідливої активності відомої кіберзлочинної групи Sednit. Останнім часом зловмисники стали використовувати новий набір експлойтів для розповсюдження шкідливих програм. При цьому використовуються домени, аналогічні легітимним сайтам, пов'язаних з військовою промисловістю, обороною та міжнародними відносинами.
Протягом останніх п'яти років жертвами групи Sednit регулярно ставали різні організації переважно в Східній Європі. Хакери поширювали шкідливе програмне забезпечення серед корпоративних користувачів за допомогою фішингових повідомлень електронної пошти. Листи містили вкладені файли Microsoft Word з поширеними експлойтами, які використовувалися для автоматичної інсталяції інших шкідливих програм. При цьому дуже часто використовувався бекдор, який отримав назву Win32/Sednit, також іменований як Sofacy.
«Нещодавно ми зіткнулися з випадком компрометації легітимних фінансових сайтів. Веб-сторінки даних ресурсів містили шкідливий об'єкт, який перенаправляв відвідувачів на набір експлойтів. На базі наших досліджень та інформації, наданої нам групою аналітиків з Google Security Team, ми встановили причетність Sednit до даної атаки. Якщо раніше група спеціалізувалася тільки на розсилці фішингових повідомлень зі шкідливими вкладеннями, то тепер хакери поміняли стратегію», — розповідає Джоан Калвет, дослідник ESET.
Експерти ESET детально досліджували шкідливий вміст, розміщений групою Sednit на сайті великої фінансової установи в Польщі. Було виявлено, що в одному з досліджуваних об'єктів використовується URL-адреса, дуже схожа на адресу авторитетного новинного ресурсу про військову промисловість. Шкідливі об'єкти перенаправляли користувачів на набір експлойтів, які встановлювали на комп'ютери троян Win32/Agent.WLF.
Варто відзначити, що в останні роки набори експлойтів все частіше використовуються кіберзлочинцями для розповсюдження шкідливих програм, призначених для здійснення операцій фінансового шахрайства, розсилки спаму, крадіжки біткоінів та конфіденційних даних користувачів. Схема кібератак, яку використовують Sednit, відома під загальною назвою «watering hole» і полягає в перенаправленні трафіку з відомого веб-ресурсу, часто відвідуваного членами однієї організації або користувачами з певної галузі.
Відзначимо, що антивірусні рішення ESET блокують подібні спроби перенаправлення користувачів з наступним повідомленням: