IT NewsНовости рынкаБезопасность

«Лаборатория Касперского» выявила кампанию кибершпионажа против промышленных предприятий

Екатерина Александрова | 09.10.2020

«Лаборатория Касперского» выявила кампанию кибершпионажа против промышленных предприятий

Обнаружен набор вредоносных модулей MontysThree, существующий как минимум с 2018 г. и предназначенный для целевых атак на промышленные предприятия.

Он использует техники, помогающие избежать детектирования, в том числе сообщение с контрольно-командным сервером через публичные облачные сервисы и стеганографию.

MontysThree состоит из четырех модулей. Атака начинается с распространения загрузчика с помощью фишинга через самораспаковывающиеся архивы. Названия файлов в таких архивах могут быть связаны со списками контактов сотрудников, технической документацией или результатами медицинских анализов. Загрузчик расшифровывает основной вредоносный модуль из растрового изображения со стеганографией. Для этого применяется специально разработанный алгоритм.

Основной вредоносный модуль использует несколько алгоритмов шифрования, чтобы избежать детектирования, преимущественно RSA для коммуникаций с контрольным сервером и для расшифровки конфигурационных данных. В этих основанных на формате XML данных описываются задачи зловреда: поиск документов с заданными расширениями, в указанных директориях и на съемных носителях. Данная информация позволила выяснить, что операторов MontysThree интересуют документы Microsoft Office и Adobe Acrobat.

Помимо этого, модули могут снимать скриншоты рабочего стола, определять, интересна ли жертва операторам, анализируя ее сетевые и локальные настройки и т.д. Найденная информация шифруется и передается в публичные облачные сервисы (Google Drive, Microsoft One Drive, Dropbox), через них же происходит получение новых файлов.

MontysThree также использует простой метод для закрепления в зараженной системе — панель быстрого запуска Windows Quick Launch. Пользователи, сами того не зная, запускают первичный модуль вредоносного ПО каждый раз, когда c помощью этой панели открывают легитимные приложения, например браузеры.

Эксперты не нашли никаких сходств этого вредоносного кода с кодом других целевых кампаний.

«Атаки с использованием инструментов MontysThree выделяются не только тем, что нацелены на промышленные предприятия (хотя это и не уникально, но они не самые популярные мишени для целевых атак), но и сочетанием продвинутых и любительских тактик и методов. Уровень технических решений в этом наборе инструментов заметно разнится. Разработчики MontysThree используют современные надежные криптографические стандарты и кастомизированную стеганографию. Уровень разработки не такой высокий, как у крупных APT-игроков, но авторы вложили много сил в создание этого набора инструментов и продолжают его развивать, поэтому мы предполагаем, что у них есть вполне определенные цели и данная кампания не является краткосрочной», — комментирует Денис Легезо, старший эксперт по кибербезопасности в «Лаборатории Касперского».

информационная безопасность, Кибершпионаж, корпоративная информационная безопасность

Kaspersky lab | Лаборатория Касперского


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Принципами организации удаленной работы в период пандемии COVID-19 делится руководитель кабинета СЕО Acronis Алена Геклер.  Эту должность  она заняла около года назад, а ранее была советником президента Microsoft в России, затем директором департамента по продвижению бизнес-решений Microsoft в России.
А что IT? А мы работаем, совершенствуемся в популярных технологиях и осваиваемся в новых. И пока до Луны ближе, чем до создания искусственного интеллекта, без работы мы не останемся.
Развитие технологий нейронных сетей может начать частично вытеснять из-за руля людей уже в ближайшие годы, а если прогресс будет идти хотя бы с той же скоростью, что и сейчас, то через 10 лет встанет вопрос, а нужен ли вообще водитель или уже нет?

Компании сообщают

Мероприятия

Выставка «СВЯЗЬ-2020»
Москва, г. Москва, Краснопресненская набережная, 14, ЦВК «Экспоцентр»
02.11.2020 — 06.11.2020
Heisenbug 2020 Moscow
ОНЛАЙН
11 500 руб
04.11.2020 — 07.11.2020
Форум МАС’2020
Москва, «Экспоцентр» (Краснопресненская наб., д.14), павильон «Форум», зал «Западный»
05.11.2020
10:00
Loginom Days 2020
ОНЛАЙН
09.11.2020 — 13.11.2020