«Лаборатория Касперского» рассказала о волне целевых атак на государственные учреждения и оборонные предприятия Афганистана, России и других стран Восточной Европы.
Проникновение в атакуемую сеть осуществляется при помощи хорошо подготовленных фишинговых писем, в том числе использующих непубличную информацию. Документы Microsoft Word, вложенные в фишинговые письма, содержат вредоносный код для экспулатации уязвимости CVE-2017-11882, которая позволяет выполнить произвольный код.
В предыдущей серии атак использовалось вредоносное ПО PortDoor. В новых атаках злоумышленники использовали сразу шесть вредоносных backdoor-программ. Вероятно, это нужно для сохранения канала связи с зараженной системой на случай, если одна из вредоносных программ будет обнаружена и удалена.
Для развития атаки используется утилита Ladon с инструментарием для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей и т.д.
Украденные файлы помещали в зашифрованные ZIP-архивы. После получения собранных данных серверы управления вредоносным ПО первого уровня отправляли полученные архивы на сервер управления второго уровня, расположенный в Китае.