Эксперты зафиксировали возрождение операции Dark Seoul

Исследователи Palo Alto Networks зафиксировали кампанию по кибершпионажу, которая может быть продолжением операции Dark Seoul/Operation Troy, прекратившей свою активность после обнародования информации о ней в 2013 году. Такой вывод был сделан на основе анализа серии атак, совершенных на сайты транспортного сектора в Европе в июне 2015 года.

Эксперты идентифицировали вредоносное ПО, обладающее схожими характеристиками с трояном TDrop, который использовался в кампании 2013 года. Новый образец, получивший наименование TDrop2, предназначен для осуществления рекогносцировки на целевом объекте и применяет методы шифрования и сетевых коммуникаций аналогичные своему предшественнику.

В недавних атаках группировка использовала скомпрометированные web-сайты в качестве C&C-серверов. В настоящее время неизвестно, каким образом были взломаны ресурсы, но все они используют один и тот же хостинг и работают под управлением устаревшего ПО, которое, по всей вероятности, может содержать серьезные уязвимости.

Специалисты Palo Alto отмечают наличие значительных различий между атаками 2015 и 2013 годов. В частности, это смена целевых объектов с южнокорейских ресурсов на европейские, а также тот факт, что вредоносное ПО не проявляет разрушающей активности, хотя способно загружать дополнительные компоненты.

«Киберпреступным группировкам свойственно «залегать на дно» на некоторое время, особенно после публичного раскрытия информации о них, как это было в случае с операцией Dark Seoul/Operation Troy. Изменение инфраструктуры и техник – процесс трудоемкий и случаи, когда хакеры используют специализированные инструменты, разработанные для определенных групп, довольно редки», — отмечают эксперты Palo Alto Networks.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s