Исследователи «Лаборатории Касперского» обнаружили в феврале 2024 года кампанию кибершпионажа на государственное учреждение на Ближнем Востоке. Она получила название DuneQuixote, поскольку для атак используется вредоносный код со строками из испанских стихотворений. Злоумышленники прибегли к такой уловке, чтобы затруднить обнаружение вредоносного ПО.
Кампания начинается с внедрения программы-дроппера, которая маскируется под установочные файлы легитимного файлового менеджера Total Commander. Таким образом исходно на устройство дроппер попадает, если его загрузит сам пользователь. В коде зловреда содержатся строки из испанских стихотворений, которые различаются в зависимости от образца. Это «сбивает» детектирующие механизмы и усложняет обнаружение вредоносного ПО традиционными методами.
Троянцы-дропперы в свою очередь позволяют загрузить другие зловреды — бэкдоры под названием CR4T, которые обеспечивают злоумышленникам доступ к устройству жертвы. Бэкдоры написаны на языках C/C++ и Go. В версии на Go для коммуникаций с командно-контрольным сервером используется Telegram API: задействуются общедоступные привязки Telegram API для Go.
«Варианты обнаруженного вредоносного ПО показывают адаптивность и изобретательность атакующих в ходе этой кампании. На данный момент мы обнаружили два импланта бэкдора CR4T, но предполагаем, что существуют и другие», — комментирует Сергей Ложкин, ведущий эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы защититься от целевых атак, эксперты «Лаборатории Касперского» рекомендуют:
предоставить сотрудникам SOC доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы «Лаборатории Касперского»
повышать навыки ИБ-специалистов для противодействия актуальным угрозам. Например, в этом могут помочь онлайн-тренинги по кибербезопасности от экспертов «Лаборатории Касперского»;
поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, важно обучать цифровой грамотности всех сотрудников, например с помощью Kaspersky Automated Security Awareness Platform;
внедрить EDR-решение для защиты конечных устройств, чтобы своевременного обнаруживать и реагировать на инциденты, например Kaspersky Endpoint Detection and Response;
использовать решение корпоративного уровня, помогающее выявлять сложные угрозы на ранней стадии на уровне сети, такое как Kaspersky Anti Targeted Attack Platform.