Исследовательская и разведывательная лаборатория Cyble (Cyble Research and Intelligence Labs — CRIL) обнаружила вредоносное программное обеспечение, которое распространяло ZIP-архив, маскирующийся под беларусский военный документ под названием «ТЛГ на убытие на переподготовку.pdf», обратил внимание Reform.news.
Беларусский военный документ использовался как приманка, считают в Cyble. Сработать он должен был на командиров Сил специальных операций.
После распаковки ZIP-архива жертве предоставляются два компонента: ярлык Windows с тем же русским именем «ТЛГ на убытие на переподготовку.pdf» и скрытый каталог с именем «FOUND.000». После запуска ярлыка злоумышленники получают доступ к командной строке через анонимизированный канал Tor, и в итоге им доступны:
- полный интерактивный доступ к рабочему столу компьютера;
- возможность двунаправленной передачи файлов;
- доступ к сетевым файлам общего доступа.
Объектами кампании заражения стали военнослужащие воздушно-десантных войск России и беларусских спецподразделений, специализирующихся на операциях с использованием БПЛА.
Исследователи Cyble отметили сходство этой рассылки вредоносов с предыдущей (Army+), направленной на компрометацию украинских объектов и уверенно связанной с российской командой Sandworm, однако заявили, что на данном этапе они не могут определить, кто именно несет ответственность за эту кампанию.