Международная компания, специализирующаяся на разработке систем защиты от компьютерных вирусов, «
Специалисты «Лаборатории Касперского» вышли на след свежей неведомой кибергруппировки в конце 2016 г.
«Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а еще не замечаемые традиционными средствами защиты техники». Код Meterpreter был загружен скриптами PowerShell из реестра ОС напрямую в память, что позволило программе оставаться незамеченной и похищать пароли системных администраторов.
«Лаборатория Касперского выяснила, что для проникновения в корпоративные сети не менее 140 организаций неизвестные злоумышленники использовали только легитимное ПО, а всевозможные вредные файлы сохраняли в памяти системы, не оставляя никаких следов на жестких дисках», — указали в компании.
Специалистами «Лаборатории Касперского» отмечается, что атаки как правило осуществляются на крупнейшие компании.
Целью «незаметных» кибератак являлось хищение денег.
Внедрение вредоносного кода в легитимное ПО дает возможность киберпреступникам избегать обнаружения способом «белых списков», а присутствие только в памяти системы лишает исследователей подтверждений и артефактов, на основе которых можно провести расследование, подчеркнули специалисты. Установить это удалось благодаря анализу средств и методов, которые используют злоумышленники.