Хакеры атакуют промышленные предприятия в Европе с применением имплантов для кражи данных

 

«Лаборатория Касперского» выявила серию сложных целевых кибератак на промышленные предприятия в Восточной Европе. Злоумышленники крадут данные у компаний производственного сектора, а также у организаций, занимающихся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые, предположительно, связаны с группой APT31, также известной как Judgment Panda и Zirconium.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Для получения удалённого доступа к системам жертв, сбора и кражи данных применяются более 15 различных имплантов. Это модули для обеспечения бесперебойного удалённого доступа и первоначального сбора информации, инструменты для сбора файлов (в том числе с физически изолированных систем), а также средства выгрузки данных на командные серверы. Имплаты позволяют создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем.

Отмечается, что злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности. Они, в частности, активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена предполагает применение легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации информации и доставки вредоносного ПО использовались облачные сервисы и платформы обмена файлами. Хакеры развёртывали инфраструктуру управления и контроля скомпрометированных систем в облачной среде и на частных виртуальных серверах. В атаках использовались новые версии вредоносного ПО FourteenHi и новый имплант MeatBall, предоставляющий обширные возможности для удалённого доступа.

Отличительная особенность киберпреступной кампании — кража данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. При этом были задействованы как минимум четыре различных модуля: инструмент для работы со съёмными носителями и сбора информации о них; средства заражения съёмного носителя; компонент сбора и сохранения данных на заражённом носителе; модуль заражения и сбора информации с удалённого компьютера.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/1090961
Система Orphus