Laundry Bear заражает компьютеры на Украине через поддельные документы о проверке Starlink
Хакерскую группу Laundry Bear (Void Blizzard), которую связывают с Россией, заподозрили в причастности к рассылке вредоносных документов, замаскированных под служебные материалы о проверке терминалов Starlink и сообщения от благотворительных фондов. После открытия таких файлов на рабочие станции пользователей устанавливается бэкдор DrillApp, дающий злоумышленникам доступ к данным, камере и микрофону.
Кибершпионская кампания, нацеленная на украинские организации, построена на использовании документов-приманок, имитирующих официальную и волонтерскую коммуникацию. Вредоносные файлы оформлены как материалы о проверке терминалов Starlink или сообщения от фонда «Вернись живым» (признанного нежелательной организацией на территории РФ), поддерживающего вооруженные силы Украины.
Исследователи отмечают, что кампания активизировалась в феврале на фоне введения на Украине процедуры верификации терминалов Starlink, что усилило доверие к подобным документам и повысило эффективность социальной инженерии.
После открытия файла вредоносный код запускается через браузер Microsoft Edge. Такой механизм позволяет обходить часть защитных средств, поскольку браузер имеет легитимный доступ к камере, микрофону и функциям записи экрана, что снижает вероятность обнаружения активности.
В результате на пользовательское устройство устанавливается бэкдор DrillApp. Он обеспечивает удаленный доступ к системе, позволяя загружать и выгружать файлы, записывать аудио, получать изображение с веб-камеры и отслеживать действия пользователя.
Автор телеграм-канала «Кибервойна» Олег Шакиров подчеркнул в комментарии SecPost, что сама технология Starlink не является оружием как таковым, а является средством связи.
«В современной войне связь очень важна, поэтому все стремятся использовать лучшие технологии. И, очевидно, интернет от SpaceX (производитель Starlink. — Прим. SecPost) — это лучшее, что есть», — отметил эксперт.
Фишинг, в данном случае, имел удачный повод — особенно на фоне введения SpaceX в начале февраля новой процедуры верификации по просьбе украинских властей. Украина потребовала этого для того, чтобы лишить российскую сторону возможности пользоваться терминалами Starlink, отмечает Шакиров, которые добывались окольными путями. «Когда интернет отключили, связисты стали искать новые лазейки, и этим чувством срочности воспользовались злоумышленники», — указывает Шакиров.
Впрочем, новые правила верификации терминалов стали поводом и для атак на Украину. По словам эксперта, этот повод использовался как минимум в одной кампании, нацеленной на Украину. Из-за новых правил возникли проблемы со связью и у ВСУ, только, как отмечает Шакиров, они были менее серьезными. Этому во многом способствовало то, что у украинской стороны был официальный способ получения терминалов: аналогичного у российской стороны наготове не было.
CERT-UA фиксировала ранее операции этой группы против украинских военных. В них также использовались темы, вызывающие доверие у получателей, и размещение вредоносных компонентов на публичных сервисах, что затрудняет их блокировку и обнаружение.
По оценке исследователей, вредоносное ПО находится на ранней стадии разработки. Обнаружены как минимум две версии DrillApp, которые отличаются сценариями доставки и оформления приманок, что может указывать на тестирование различных подходов в рамках одной кампании.
Аналитики предполагают, что активность может быть связана с группировкой Laundry Bear (Void Blizzard), действующей как минимум с 2024 года и ранее уже атаковавшей организации в странах НАТО и на территории Украины. При этом в используемых техниках фиксируются отдельные пересечения с подходами группы APT28 (Fancy Bear), хотя исследователи рассматривают их как разные структуры.
Читайте также
