Специалисты из Kaspersky GReAT рассказали о новой волне кибератак на государственные органы в России и Монголии. В атаках снова использовался вредоносный код MysterySnail, который впервые был обнаружен в 2021 году и связан с группой IronHusky.
Злоумышленники распространяют вредоносный скрипт, скрывая его под видом документа от официальной монгольской организации. При открытии этого документа запускаются дополнительные вредоносные файлы, включая библиотеку CiscoSparkLauncher.dll, которая служит бэкдором для загрузки основного троянца MysterySnail. Этот троянец затем устанавливает связь с серверами злоумышленников по протоколу HTTP.
Новая версия вируса может выполнять около 40 различных команд, включая управление файлами и процессами, настройку прокси-каналов и мониторинг подключенных устройств. Позже злоумышленники начали использовать упрощенную версию вредоносного кода под названием MysteryMonoSnail, который имеет всего один модуль и 13 базовых команд, но все еще подключается к тем же серверам, используя протокол WebSocket.
Группа IronHusky, по словам экспертов, активна как минимум с 2012 года и ранее атаковала ИТ-компании и дипломатические представительства. Специалисты подчеркивают, что подобные угрозы требуют постоянного анализа и мониторинга, так как старые инструменты злоумышленников часто обновляются, и нельзя расслабляться.
© KiberSec.ru – 19.04.2025, обновлено 19.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
