Кремлевские хакеры запустили новый троян Cannon
Преступники рассылают фишинговые письма, эксплуатируя недавнее крушение самолета Lion Air.
Эксперты из американской компании Palo Alto Networks обнаружили новый троян, запущенный кремлевскими хакерами группировки APT 28 (она же Fancy Bear). По встречающемуся в коде слову вредонос был назван исследователями Cannon.
Издание SecurityLab пишет, что Cannon представляет собой троян для сбора информации о системе и создания скриншотов и используется преступниками в рамках шпионской кампании против правительственных организаций в Европе и США как минимум с прошлого месяца.
Для распространения Cannon преступники используют фишинговые письма, эксплуатирующие недавнее крушение самолета авиакомпании Lion Air. Письма содержат вложение Lion Air Boeing 737.docx, а их автором указан некий Joohn.
При попытке открыть документ появляется сообщение, что он был создан в старой версии Microsoft Word, и для его просмотра нужно активировать макросы. Когда пользователь соглашается включить макросы, запускается процесс установки трояна. С целью обхода обнаружения вредонос устанавливается на систему только поле завершения сеанса Word.
Наряду с Cannon в данной кампании используется еще один вредонос - Zebrocy, уже встречавшийся в операциях, проводимых APT 28. Cannon функционирует подобно Zebrocy, но в отличие от него устанавливает связь с C&C-сервером для получения инструкций. Каждые 10 секунд вредонос делает скриншоты и каждые пять минут собирает данные.
Напомним, Министерство внутренней безопасности США и Федеральное бюро расследований еще в декабре 2016 года выпустили технический отчет о кибератаках России, в котором подтверждается причастность хакерских группировок Fancy Bear и Cozy Bear к спецслужбами РФ.
