На портале электронного правительства обнаружили вредоносное программное обеспечение, так называемое «семейство Razy».
Хакеры взломали портал eGov и загрузили вредоносные файлы от имени акимата
Как сообщает пресс-служба АО «НИХ «Зерде», образцы «семейства Razy», представляют собой троян-загрузчик, который маскируется под офисный документ (Word, Excel и Adobe PDF) для заражения пользователей.
«Зачастую злоумышленники распространяют Razy, используя способ, при котором вредоносное ПО располагается на официальных сайтах, таким образом, злоумышленник добивается эффекта доверия со стороны потенциальной жертвы», – уточнили в пресс-службе инфокоммуникационного холдинга.
Отечественная антивирусная компания T&T Security совместно с «Зерде» разобрала несколько кейсов, но особо обратили внимание на метод атаки «на водопое» (watering hole attack) через портал электронного правительства.
«Злоумышленники получили доступ к загрузке файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение. Нужно отметить, что первый документ представляет собой постановление районного акимата, а второй документ представляет собой финансовую сводку по бюджету акимата», – разъяснили в «Зерде».
Это означает, что злоумышленники занимаются поиском подходящих для жертвы документов и последующим его встраиванием в конечный вредоносный файл.
На данный момент центр управления данных ВПО (C&C сервер) уже отключен, и эти объекты не могут загрузить дополнительный вредоносный функционал. Специалисты с целью локализации и блокировки данного вредоносного контента использовали систему tLab, которая успешно обнаруживает и блокирует угрозу.
Источник: Newtimes
