Новости Северная Корея или Five Eyes? Кто заказал кибератаку на оборонные и нефтяные компании Восточной Европы?

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
«Лаборатория Касперского» выявила продвинутые тактики злоумышленников и новые возможности вредоносного ПО.


6axc4ete1t3gv6pe6o58posvosfg68uk.jpg


Исследователи «Лаборатории Касперского» Для просмотра ссылки Войди или Зарегистрируйся масштабную вредоносную кампанию, которая была направлена на кражу конфиденциальных данных из десятков организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники использовали продвинутые техники и инструменты для шпионажа, включая модуль для проникновения в изолированные сети с помощью USB-накопителей и бэкдор Linux MATA.

Атака началась в августе 2022 года с рассылки целевых фишинговых писем, содержащих вредоносные документы Word. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.

Для реализации атаки злоумышленники использовали три новых поколения вредоносного ПО MATA, включая доработанный MATA второго поколения, а также новые версии, получившие имена MataDoor и MATA пятого поколения. Другой примечательной составляющей этой сложной атаки является то, что целями злоумышленников также стали cерверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением, в совокупности с применением версии вредоносного ПО MATA для Linux, позволило злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.

При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.

Атакующие также продемонстрировали высокий уровень подготовки и умение обходить защитные решения, установленные в атакованных средах. Они применяли множество техник для скрытия своей активности, таких как использование руткитов, уязвимых драйверов, маскировка файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО.

Хотя большая часть вредоносных документов Word содержала корейский шрифт Malgun Gothic (맑은 고딕), указывая на возможную связь с APT Lazarus, исследователи также обнаружили технические приёмы, которые могут указывать на другие группировки, включая альянс Five Eyes. Однако определить истинного инициатора атаки до сих пор не удалось.
 
Источник новости
www.securitylab.ru

Похожие темы