Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Преступники доставили зловреда в целевую инфраструктуру, используя электронную почту контрагента предприятия.
Крупный американский поставщик полупроводников пострадал от вторжения шпионского трояна LokiBot. Злоумышленники доставили зловреда в инфраструктуру предприятия с помощью вредоносного письма с email-адреса одного из контрагентов предприятия.
Впервые LokiBot попал на радары ИБ-специалистов в 2015 году. Создатели трояна, которого не следует путать с одноименным Android-зловредом, обеспечили ему возможность красть информацию о зараженной системе, учетные данные электронных кошельков, браузеров, почтовых клиентов и т. д. Программа также умеет отслеживать нажатия клавиш.
По мнению специалистов, в 2017 году троян украли у разработчиков. Нынешние операторы LokiBot нередко прибегают к оригинальным методам доставки, например встраивают зловред в PNG-файлы или ISO-образы.
Текущую кампанию обнаружили в конце августа. Она была построена на более традиционных методах — сотрудник организации получил вредоносное электронное письмо. Отправитель сообщения ссылался на отсутствие своего коллеги и просил срочно просмотреть файл во вложении. Там находился вредоносный дистрибутив, замаскированный под архив с документом.
Исследователи отмечают, что при внимательном изучении адресат письма мог заподозрить неладное. В частности, в тексте письма злоумышленники упоминали один документ, тогда как во вложении находился другой. Файл зловреда, скрывавшийся в архиве, назывался Dora Explorer Games. Это название отсылает к героине детского мультфильма Dora the Explorer и не очень подходит для целевой атаки на промышленную организацию. Тем не менее, получивший письмо сотрудник не обратил на эти нестыковки внимания и запустил зловреда. Последствия инцидента компания оставила в секрете.
По словам аналитиков, замеченный в атаке IP-адрес в июне уже использовался в похожей кампании. Предыдущие атаки были направлены на компанию German Bakery. Как и в текущей атаке, злоумышленники пытались заставить корпоративных пользователей открыть вредоносное вложение, только тогда это был RTF-файл. Кроме того, письма, полученные сотрудниками German Bakery, были составлены на китайском.
Исследователи предполагают, что обе кампании организовала одна и та же группа, хотя говорить об этом с уверенностью не могут: выборка слишком мала. По их мнению, преступники могут использовать эту инфраструктуру для направленных атак.
«Злоумышленники используют социальную инженерию, — заключают эксперты. — Крайне важно, чтобы сотрудники организации знали о таком типе угроз, проходили регулярные тренинги и внезапные проверки безопасности».
В 2019 году произошло сразу несколько крупных кибератак на промышленные предприятия. Сначала шифровальщик LockerGoga атаковал норвежскую компанию Norsk Hydro, вынудив ее остановить процессы на производственных участках в нескольких странах. Через несколько дней этот же зловред проник на химические предприятия в США, после чего IT-специалисты потратили несколько недель, чтобы вернуть инфраструктуру в рабочее состояние.
Позднее стало известно о проблемах на заводе в Японии, которые были связаны с активностью зловреда-криптоджекера. Пострадало около 100 компьютеров, а обороты предприятия в результате инцидента упали на 60%.
На Ближнем Востоке ИБ-эксперты обнаружили новую группировку Hexane/Lyceum, которая активно атакует нефтегазовую отрасль. Преступники взламывают телекоммуникационные компании и проводят MitM-атаки с использованием авторского вредоносного ПО.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |