Компанія ESET ― лідер у галузі інформаційної безпеки ― виявила фішингову атаку на політичні організації, яку здійснила APT-група MirrorFace. Зокрема зловмисники надсилали електронні листи, які містили бекдор LODEINFO для доставки додаткових шкідливих програм, а також перехоплення облікових даних та викрадення документів та електронних листів жертв. Метою групи MirrorFace є шпигунство та викрадення важливих файлів.
Кіберзлочинці маскувались під представника із PR-відділу певної політичної партії та просили одержувачів електронних листів поширити у своїх соцмережах відео з вкладення. Усі фішингові повідомлення містили шкідливе вкладення, яке після виконання розгортало бекдор на інфікованому пристрої.
Варто зазначити, що бекдор LODEINFO постійно вдосконалюється. Його функціональні можливості дозволяють викрадати скріншоти, зчитувати натискання клавіатури, завершувати процеси, перехоплювати файли, відкривати додаткові документи та шифрувати визначені файли і папки. Крім того, під час атаки використовувалася раніше незафіксована загроза MirrorStealer для викрадення облікових даних. Шкідлива програма здатна викрадати облікові дані з різних програм, таких як браузери та сервіси електронної пошти.
«Під час розслідування цієї атаки нам вдалося виявити додаткові тактики, методи та процедури групи MirrorFace, зокрема розгортання та використання додаткового шкідливого програмного забезпечення та інструментів для збору та перехоплення цінних даних жертв. Крім того, дослідження показало деяку неуважність кіберзлочинців, які залишали сліди та допускали різноманітні помилки», — коментує дослідник компанії ESET.
Шкідливе програмне забезпечення LODEINFO використовується виключно для атак на організації у Японії, серед яких медіа-компанії, підприємства у галузі оборони, аналітичні центри, дипломатичні організації та академічні установи.
Для протидії подібним атакам APT-груп компаніям важливо підвищувати рівень обізнаності своїх співробітників щодо основних правил безпеки, зокрема захисту від фішингових атак, та створити багаторівневу систему кіберзахисту. Зокрема організаціям вже зараз слід забезпечити всебічний захист робочих станцій, розширений аналіз загроз, виявлення та реагування, а також запобігання втраті конфіденційних даних.