Контакты
Подписка
МЕНЮ
Контакты
Подписка

Взломавшие CCleaner хакеры готовили третий этап вредоносной кампании

Взломавшие CCleaner хакеры готовили третий этап вредоносной кампании

Взломавшие CCleaner хакеры готовили третий этап вредоносной кампании


13.03.2018



Исследователи компании Avast сообщили новые сведения о нашумевшем прошлогоднем инциденте с CCleaner. Согласно представленному на конференции SAS в Мексике докладу, хакеры, атаковавшие инфраструктуру CCleaner и внедрившие в утилиту бэкдор, готовились к заражению инфицированных компьютеров третьим вариантом вредоносного ПО, сообщает Bleeping Computer.

Напомним, инцидент имел место в сентябре 2017 года, когда исследователи Avast обнаружили , что в 32-разрядные версии CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 был внедрен инфостилер. По словам экспертов, вредонос инфицировал порядка 2,7 млн компьютеров, однако похищал только базовую информацию, такую как имя компьютера и данные о домене.

Как выяснилось позднее, внедрение инфостилера было лишь первым этапом масштабной кампании, предназначенным для выявления компьютеров, относящихся к внутренним сетям крупных технологических компаний, таких как Google, Cisco, Oracle, Intel, Akamai, Microsoft и пр. В ходе второго этапа злоумышленники заразили вредоносным ПО только 40 компьютеров, обнаруженных в этих сетях. По мнению экспертов Avast, Cisco Talos и "Лаборатории Касперского", ответственность за атаки лежит на киберпреступной группировке Axiom, предположительно имеющей китайское происхождение.

Согласно представленному на конференции в Мексике докладу, злоумышленники также готовили третий этап своей кампании. На компьютерах сотрудников Piriform (компании-разработчика CCleaner, приобретенной Avast в июле 2017 года) был обнаружен образец третьего вредоносного ПО, присутствующий там еще с 12 апреля 2017 года. Хакеры использовали сети Piriform для подготовки основного взлома, считают эксперты.

Речь идет о многофункциональном модульном фреймворке ShadowPad. Вредонос оснащен целым набором плагинов, предназначенных для самых разных целей. В частности, они выполняют функции бэкдора, кейлоггера и инфостилера. Судя по лог-файлам на зараженных компьютерах Piriform, в данном случае хакеры намеревались применять ShadowPad в качестве кейлоггера.

По мнению специалистов Avast, ShadowPad должен был использоваться на третьем этапе вредоносной кампании. Тем не менее, исследователи безопасности выявили зараженную версию CCleaner до запуска третьего этапа, и планы злоумышленников были расстроены.

 

Securitylab