Кто украл секреты соседей? Опубликован отчёт о масштабной шпионской кампании в СНГ
NewsMakerХакеры захватили десятки госорганов с помощью одного популярного мессенджера.
Группа Hydra Saiga продолжает масштабные операции кибершпионажа против государственных структур и объектов критической инфраструктуры. Новый отчёт VMRay показывает , что кампания действует не менее пяти лет и активно атакует организации в Европе, Центральной Азии и на Ближнем Востоке, уделяя особое внимание энергетике и водным ресурсам.
Hydra Saiga, известная также под названиями Yorotrooper и ShadowSilk, действует как минимум с 2021 года. Основной особенностью кампании стала необычная система управления вредоносным кодом. Операторы используют Telegram Bot API для передачи команд заражённым системам. Такой подход позволяет быстро разворачивать инфраструктуру управления и усложняет обнаружение атак.
Заражение происходит несколькими способами. В одном из эпизодов злоумышленники распространяли файл под видом письма постоянного представителя Туркменистана в ООН. Исполняемый файл запускал скрытый скрипт PowerShell, который связывался с Telegram и получал команды операторов. В других случаях атакующие рассылали фишинговые письма с архивами и документами Word, содержащими вредоносные макросы . После открытия документа макрос загружал следующий этап вредоносной программы с удалённого сервера.
После проникновения в сеть злоумышленники действуют вручную, последовательно используя стандартные инструменты Windows . Операторы создают задания планировщика и изменяют ключи реестра для закрепления в системе, собирают пароли и копии баз данных учётных записей, а затем перемещаются по сети с помощью WMI и PsExec. Для маскировки активности отключаются функции Microsoft Defender и брандмауэра.
Группа Hydra Saiga продолжает масштабные операции кибершпионажа против государственных структур и объектов критической инфраструктуры. Новый отчёт VMRay показывает , что кампания действует не менее пяти лет и активно атакует организации в Европе, Центральной Азии и на Ближнем Востоке, уделяя особое внимание энергетике и водным ресурсам.
Hydra Saiga, известная также под названиями Yorotrooper и ShadowSilk, действует как минимум с 2021 года. Основной особенностью кампании стала необычная система управления вредоносным кодом. Операторы используют Telegram Bot API для передачи команд заражённым системам. Такой подход позволяет быстро разворачивать инфраструктуру управления и усложняет обнаружение атак.
Заражение происходит несколькими способами. В одном из эпизодов злоумышленники распространяли файл под видом письма постоянного представителя Туркменистана в ООН. Исполняемый файл запускал скрытый скрипт PowerShell, который связывался с Telegram и получал команды операторов. В других случаях атакующие рассылали фишинговые письма с архивами и документами Word, содержащими вредоносные макросы . После открытия документа макрос загружал следующий этап вредоносной программы с удалённого сервера.
После проникновения в сеть злоумышленники действуют вручную, последовательно используя стандартные инструменты Windows . Операторы создают задания планировщика и изменяют ключи реестра для закрепления в системе, собирают пароли и копии баз данных учётных записей, а затем перемещаются по сети с помощью WMI и PsExec. Для маскировки активности отключаются функции Microsoft Defender и брандмауэра.