Эксперты из американской компании Palo Alto Networks обнаружили новый троян, запущенный кремлевскими хакерами группировки APT 28 (она же Fancy Bear). По встречающемуся в коде слову вредонос был назван исследователями Cannon.
Издание SecurityLab пишет, что Cannon представляет собой троян для сбора информации о системе и создания скриншотов и используется преступниками в рамках шпионской кампании против правительственных организаций в Европе и США как минимум с прошлого месяца.
Для распространения Cannon преступники используют фишинговые письма, эксплуатирующие недавнее крушение самолета авиакомпании Lion Air. Письма содержат вложение Lion Air Boeing 737.docx, а их автором указан некий Joohn.
При попытке открыть документ появляется сообщение, что он был создан в старой версии Microsoft Word, и для его просмотра нужно активировать макросы. Когда пользователь соглашается включить макросы, запускается процесс установки трояна. С целью обхода обнаружения вредонос устанавливается на систему только поле завершения сеанса Word.
Наряду с Cannon в данной кампании используется еще один вредонос – Zebrocy, уже встречавшийся в операциях, проводимых APT 28. Cannon функционирует подобно Zebrocy, но в отличие от него устанавливает связь с C&C-сервером для получения инструкций. Каждые 10 секунд вредонос делает скриншоты и каждые пять минут собирает данные.
Напомним, Министерство внутренней безопасности США и Федеральное бюро расследований еще в декабре 2016 года выпустили технический отчет о кибератаках России, в котором подтверждается причастность хакерских группировок Fancy Bear и Cozy Bear к спецслужбами РФ.
В октябре мировое сообщество выпустило ряд разоблачений российских хакеров. В частности, британский МИД заявил, что за большинством крупных кибератак в последние годы "почти наверняка несет ответственность ГРУ".