Эксперты Symantec обнародовали отчет об активности кибергруппировки SowBug, которая действует как минимум с 2015 года и провела серию атак против правительственных организаций в странах Южной Америки и Юго-Восточной Азии.
Как утверждают специалисты, хакеры скрытно проводили атаки на аргентинские, бразильские, малазийские, перуанские и эквадорские госучреждения. Злоумышленники пользовались вредоносной программой Felisimus.
Впервые она была выявлена в марте этого года. Felisimus является сложной троянской программой для удаленного доступа с модульной конструкцией, которая дает возможность расширить функционал данного ПО.
Используя эту вредоносную программу, киберпреступники могут поставить зараженную систему под свой полный контроль, передавать команды со своего сервера, осуществлять загрузку файлов и выполнять произвольный код.
В результате анализа Felismus специалисты пришли к выводу, что кибератаки связаны с хакерами Sowbug. Сама кибергруппировка начала действовать как минимум с начала 2015 года.
Согласно отчету, сейчас Sowbug главным образом действует против правительственных органов в странах Южной Америки и Юго-Восточной Азии, в частности против аргентинских, бразильских, брунейских, малазийских, перуанских и эквадорских организаций. Хакеры имеют в своем распоряжении большие ресурсы, потому могут проводить атаки сразу на несколько целей. Зачастую кибернападения осуществляются не в рабочее время целевых организаций.
Пока что неясно, как хакеры проникли в компьютерные сети, но результаты анализа собранной информации позволили экспертам предположить, что злоумышленники задействовали фальшивые обновления для Windows и Adobe Reader.
Кроме того, удалось выяснить, что хакеры SowBug пользовались утилитой Starloader, чтобы доставлять в целевые сети инструменты для извлечения учетной информации и кейлогеры. Как утверждают эксперты, файлы Starloader были замаскированы под обновления ПО от Adobe и Intel.
Вместо взлома самой программы Sowbug предоставляет вредоносным файлам схожие имена и размещает их в папки, которые пользователи могут по ошибке принять за каталоги, применяемые легитимным программным обеспечением. В результате злоумышленники могли действовать незаметно на протяжении нескольких месяцев.