Эксперты Kaspersky ICS CERT раскрыли детали атак хактивистской группы Киберпартизаны, которая с 2020 года активно атакует промышленные предприятия и государственные учреждения России и Беларуси. В ходе исследования был обнаружен ранее неизвестный бэкдор Vasilek, который вместо классического командного сервера использует Telegram для управления зараженными системами.
Группа применяет сложные методы обфускации и шифрования, чтобы скрыть свою активность. Одним из ключевых инструментов стал бэкдор Vasilek, который позволяет злоумышленникам выполнять команды, красть данные, делать скриншоты и даже записывать нажатия клавиш через Telegram-бот. Для активации вредоносного ПО используется техника имперсонализации токенов, что позволяет запускать его с правами администратора.
Еще одной находкой стал вайпер Pryanik, который действует как логическая бомба - активируется в строго определенное время, например, 17 апреля 2024 года в 01:01 UTC. Он использует уязвимый драйвер Zemana Anti-Malware (CVE-2021-31728) для получения прав ядра и последующего уничтожения данных на дисках.
Для первоначального заражения злоумышленники применяют фишинговые письма, маскируя вредоносный код под легитимный VPN-клиент FortiClient. После проникновения в сеть они используют утилиты вроде DNSCat2 для обхода сетевой изоляции и Metasploit Framework для продвижения по инфраструктуре жертвы.
Анализ инфраструктуры атак выявил связь группы с украинской ИТ-армией: один из операторов ботов Vasilek состоит в соответствующих Telegram-чатах. Это подтверждает заявления Киберпартизан о сотрудничестве с украинскими хакерами.
Эксперты Kaspersky рекомендуют организациям усилить защиту от , мониторить аномальную активность в DNS-трафике и регулярно обновлять системы для защиты от уязвимостей, используемых злоумышленниками.
