Активность хакерской группировки APT31, проявляющей интерес к госорганам по всему миру, впервые зафиксировали в России. Об этом говорится в исследовании экспертного центра безопасности компании Positive Technologies (PT Expert Security Center, PT ESC). В числе новых инструментов хакеров — вредоносное ПО, использующее функции удаленного доступа и позволяющее злоумышленникам контролировать компьютер или сеть жертвы.

По данным исследования, исходным вектором атак стал фишинг — один из самых распространенных видов социальной инженерии. Эксперты отмечают, что в общей сложности с января по июль текущего года по миру было отправлено более десятка вредоносных рассылок, а следы злоумышленников обнаружены в Монголии, США, Канаде и Республике Беларусь.

В ходе исследования одного из последних образцов вредоносного ПО специалисты PT ESC обнаружили ссылку на фишинговый домен inst.rsnet-devel[.]com, имитирующий домен федеральных органов государственной власти и органов государственной власти субъектов РФ в Интернете. По мнению экспертов, он предназначен для того, чтобы ввести в заблуждение госслужащих и компании, которые работают с госструктурами.

«В последнее время информационные системы государственных органов стали одним из основных объектов устремлений кибергруппировок. Для успешного противодействия таким атакам необходимо оперативное распространение информации об используемых злоумышленниками средствах и методах атак и способах их выявления», — пояснил заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов.

В атаках APT31, изученных специалистами PT ESC за январь — июль текущего года, злоумышленниками использовался одинаковый дроппер. Как показало исследование, его задача — создать на зараженном компьютере вредоносную библиотеку и уязвимое для DLL Sideloading приложение. Запущенное дроппером приложение вызывает одну из функций подгруженной вредоносной библиотеки, после чего управление передается вредоносному коду.

«По сути, обнаруженный зловред — это троян удаленного доступа, позволяющий APT-группе отслеживать и контролировать компьютеры либо сеть своих жертв», — рассказал Даниил Колосков, старший специалист отдела исследования угроз ИБ Positive Technologies.

В ходе анализа экземпляров вредоносного ПО специалисты обнаружили различные версии дропперов, содержащих один и тот же набор функций. При этом в ряде случаев, например при атаках на Монголию, дроппер был подписан валидной цифровой подписью. По мнению экспертов, она, скорее вс