Поделиться
Впервые обнаружено использование шпионского ПО от бывшей HackingTeam в реальных кибератаках
Эксперты Kaspersky GReAT впервые обнаружили использование шпионского ПО, созданного итальянской компанией Memento Labs (ранее HackingTeam), в реальных атаках. Отследить активность зловреда удалось благодаря анализу операции «Форумный тролль», нацеленной на сотрудников российских организаций. Об этом CNews сообщили представители «Лаборатории Касперского».
Hacking Team — один из старейших производителей шпионского ПО. Компания была основана в 2003 г. и занималась разработкой и продажей «легальных» программ для слежки. Получила известность из-за шпионской программы Remote Control Systems (RCS), которой пользовались государственные органы по всему миру. После взлома в 2015 г. в интернет попали 400 ГБ внутренних документов Hacking Team, а в 2019 г. ее купила InTheCyber Group и переименовала в Memento Labs. Спустя четыре года компания заявила о новом шпионском ПО Dante. Однако до сих пор зловред не встречался в реальных атаках, а о его возможностях было мало что известно.
Операция «Форумный тролль» и следы шпионского ПО. В марте 2025 г. «Лаборатория Касперского» обнаружила сложную целевую кампанию, в которой использовалась уязвимость нулевого дня в Chrome. Злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России с предложением поучаствовать в научно-экспертном форуме «Примаковские чтения». Если жертва переходила по ссылке и открывала браузер Chrome, устройство сразу заражалось. Никаких других действий от пользователя не требовалось.
В операции «Форумный тролль» использовалось шпионское ПО LeetAgent. Все команды были написаны на языке Leet, что редко встречается во вредоносном ПО для сложных целевых атак. Эксперты «Лаборатории Касперского» проследили активность LeetAgent до 2022 г. и выявили другие атаки той же группы, нацеленные на организации и частных лиц в России и Белоруссии. Изучая арсенал злоумышленников, они обнаружили ранее неизвестный зловред — и пришли к выводу, что это коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (ранее Hacking Team). Анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.
«Создатели шпионского ПО хорошо известны специалистам по кибербезопасности. Однако вредоносные программы бывает сложно идентифицировать и отнести конкретной группе, особенно в случае целевых атак. Чтобы установить происхождение Dante, нам пришлось разобраться в нескольких слоях запутанного кода, отследить явные признаки его использования в течение нескольких лет и сопоставить с возможными создателями. Похоже, разработчики зловреда не просто так выбрали название Dante, поскольку тому, кто пытается разобраться в его происхождении, предстоит нелегкий путь», — сказал Борис Ларин, ведущий эксперт Kaspersky GReAT.
Чтобы избежать обнаружения, Dante использует уникальный метод анализа среды, прежде чем определить, может ли оно безопасно выполнять свои функции.
Кибератаки с использованием LeetAgent впервые были обнаружены Kaspersky Symphony XDR.
Короткая ссылка
