Для атак на ближневосточные компании используются версии троянца Milum, написанные на разных языках программирования
«Лаборатория Касперского» продолжает следить за группой WildPressure, операторы которой, как сообщалось ранее, используют троянец Milum для кибератак на Ближнем Востоке. Помимо версий зловреда, написанных на C++, эксперты компании зафиксировали атаки с использованием схожих версий на Visual Basic Script и Python. Последняя может заражать как Windows, так и macOS. Все три модификации способны собирать данные о жертве, загружать файлы и выполнять команды оператора.
Мультиплатформенные зловреды, которые могут заражать устройства на macOS, встречаются редко. Для ОС Windows Python-скрипт с названием Guard доставлялся внутри исполняемого файла. У потенциальных жертв, работающих на этой ОС, не обязательно должен быть установлен интерпретатор Python. MacOS же распространяется с предустановленным интерпретатором. Системно-зависимый код троянца относится к методам закрепления в системе и сбору данных о ней. Например, Python-скрипт проверяет, установлены ли на устройстве защитные решения.
«Операторы WildPressure разработали схожие версии троянцев как минимум на трёх языках. Возможно, это было сделано для того, чтобы затруднить его детектирование. Мы нечасто видим вредоносное ПО, которое адаптировано для заражения двух разных операционных систем, даже и в виде Python-скрипта. Любопытно также, что второй целевой системой выбрана именно macOS, в зоне интересов WildPressure она явно не первая, приходящая на ум», — комментирует Денис Легезо, старший эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы противостоять целевым атакам, «Лаборатория Касперского» рекомендует организациям придерживаться следующих правил:
- регулярно обновлять всё ПО, используемое в организации, особенно при выпуске нового обновления безопасности. Помочь автоматизировать эти процессы могут защитные решения с функциями оценки уязвимостей и управления патчами;
- установить проверенное защитное решение, например Kaspersky Endpoint Security, которое позволяет с помощью поведенческого анализа выявлять известные и ранее неизвестные угрозы, включая эксплойты;
- внедрить корпоративное защитное решение, которое на ранней стадии обнаруживает целевые атаки на сетевом уровне, например Kaspersky Anti Targeted Attack Platform;
- регулярно проводить тренинги для обучения сотрудников основам кибербезопасности, поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии;
- обеспечить сотрудникам ИБ-отдела доступ к актуальной информации о киберугрозах. Такие данные можно получать, например, в аналитических отчётах «Лаборатории Касперского» об APT-угрозах.
Подробнее о целевой кампании WildPressure читайте по ссылке: https://securelist.com/wildpressure-targets-macos/103072/.
