Неизвестные хакеры атаковали беларусских военных

Вирус под видом служебного приказа получил доступ к их компьютерам.

Исследовательская и разведывательная лаборатория Cyble (Cyble Research and Intelligence Labs — CRIL) обнаружила вредоносное программное обеспечение, которое распространяло ZIP-архив, маскирующийся под беларусский военный документ под названием «ТЛГ на убытие на переподготовку. pdf».

Беларусский военный документ использовался как приманка, считают в Cyble. Сработать он должен был на командиров Сил специальных операций.

После распаковки ZIP-архива жертве предоставляются два компонента: ярлык Windows с тем же русским именем «ТЛГ на убытие на переподготовку. pdf» и скрытый каталог с именем «FOUND.000». После запуска ярлыка злоумышленники получают доступ к командной строке через анонимизированный канал Tor и в итоге им доступны:

полный интерактивный доступ к рабочему столу компьютера;

возможность двунаправленной передачи файлов;

доступ к сетевым файлам общего доступа.

Объектами кампании заражения стали военнослужащие воздушно-десантных войск Московии и беларусских спецподразделений, специализирующихся на операциях с использованием БПЛА.

Исследователи Cyble отметили сходство этой рассылки вредоносов с предыдущей (Army+), направленной на компрометацию украинских объектов и уверенно связанной с московитской командой Sandworm, однако заявили, что на данном этапе они не могут определить, кто именно несет ответственность за эту кампанию.