Раскрыты механизмы целевых атак на промпредприятия
По данным экспертов Kaspersky ICS CERT, целями серии таргетированных атак, которую специалисты наблюдают с начала 2020 г., стали в том числе поставщики оборудования и программного обеспечения для промышленных предприятий. К настоящему времени известны случаи атак на системы в Японии, Италии, Германии и Великобритании. Злоумышленники используют вредоносные документы Microsoft Office, Powershell-скрипты. Также различные техники, затрудняющие детектирование и анализ вредоносного ПО, включая стеганографию - технологию, которая позволяет скрыть факт передачи вредоносного ПО внутри изображения.
В выявленных случаях в качестве начального вектора атаки используются фишинговые письма с текстом на том языке, на котором говорят в стране, где расположена компания-жертва. Используемая вредоносная программа выполняется только в том случае, если операционная система имеет локализацию, соответствующую языку, на котором написано фишинговое письмо. Например, в случае атаки на компанию из Японии текст фишингового письма и документ Microsoft Office, содержащий вредоносный макрос, написаны на японском, а для успешной расшифровки модуля вредоносной программы операционная система должна иметь японскую локализацию.
Кроме того, злоумышленники использовали утилиту Mimikatz, чтобы украсть данные учетных записей Windows, принадлежащих сотрудникам атакованных предприятий. С помощью этой информации можно получить доступ к другим системам внутри корпоративной сети, в том числе к аккаунтам, которые имеют права администратора домена. Далее злоумышленники могут развивать атаку внутри сети предприятия.
На атаку обратили внимание из-за нескольких нестандартных технических решений. Например, вредоносный модуль закодирован при помощи методов стеганографии внутри изображения, которое размещено на легитимных веб-ресурсах. Соответственно, обнаружить загрузку такого вредоносного ПО при помощи средств мониторинга и контроля сетевого трафика практически невозможно, ведь с точки зрения технических решений такая активность не отличается от обычного обращения к легитимному хостингу изображений. Также злоумышленники намеренно добавили в программный код ошибку, которая делает вредоносную программу работоспособной только на системах с определенной локализацией. Применение таких техник, а также тот факт, что атаки имеют точечный характер, указывают на то, что речь идет о сложной целевой атаке, а то, что среди ее целей поставщики промышленных компаний, вызывает беспокойство, отмечают исследователи. Если логины и пароли сотрудников компании-подрядчика попадают в руки злоумышленников, последствий может быть очень много - от кражи конфиденциальных данных до атак на промышленные предприятия с помощью, например, удаленных инструментов администрирования, используемых подрядчиком.
