Информационные технологииStfw.Ru 🔍
🕛

Группа российских хакеров прячет вредоносную активность внутри легитимного трафика

Высококвалифицированные хакеры используют сложный инструмент HAMMERTOSS.Высококвалифицированные хакеры используют сложный инструмент HAMMERTOSS. Как сообщается в отчете компании FireEy
Высококвалифицированные хакеры используют сложный инструмент HAMMERTOSS.




Как сообщается в отчете компании FireEye, группа высококвалифицированных российских хакеров применяет инструмент HAMMERTOSS для сокрытия вредоносной активности внутри трафика легитимных сетей, например, популярных сервисов Twitter, GitHub и облачных хранилищ.


Бэкдор HAMMERTOSS был обнаружен исследователями из FireEye в начале текущего года. По словам экспертов, он использовался группой российских хакеров для передачи команд и сбора данных из скомпрометированных систем. Исследователи сообщили, что группа, которую они назвали APT29, является одной из наиболее квалифицированных и умелых, деятельность которых им доводилось отслеживать.


Как пояснили в FireEye, работа HAMMERTOSS осуществляется в несколько этапов. На первом этапе бэкдор использует определенные учетные записи в Twitter, которые созданы с помощью предсказуемого алгоритма и ежедневно меняются. Вредонос ждет публикацию, содержащую хэштег и URL-адрес, с которого загружает изображение. На первый взгляд это изображение кажется обычным, однако в нем скрыты стеганографические данные и дальнейшие инструкции для бэкдора. На последнем этапе HAMMERTOSS использует PowerShell для выполнения команд на скомпрометированном хосте.


Примечательно, что HAMMERTOSS в арсенале APT29 является не часто используемым, а скорее, дополнительным инструментом на случай, если основной будет раскрыт. Эксперты предполагают, что в случае обнаружения злоумышленники модифицируют бэкдор или вовсе прекращают использовать его вариации и создают новое вредоносное ПО.  

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.