SOS :: Security Operation Space
15 октября, вторник, 00:00
|
Hot News:

LokiBot атаковал американскую промышленную компанию

12 сентября 2019 г., четверг, 09:54

Преступники доставили зловреда в целевую инфраструктуру, используя электронную почту контрагента предприятия.

Крупный американский поставщик полупроводников пострадал от вторжения шпионского трояна LokiBot. Злоумышленники доставили зловреда в инфраструктуру предприятия с помощью вредоносного письма с email-адреса одного из контрагентов предприятия.

Что такое LokiBot

Впервые LokiBot попал на радары ИБ-специалистов в 2015 году. Создатели трояна, которого не следует путать с одноименным Android-зловредом, обеспечили ему возможность красть информацию о зараженной системе, учетные данные электронных кошельков, браузеров, почтовых клиентов и т. д. Программа также умеет отслеживать нажатия клавиш.

По мнению специалистов, в 2017 году троян украли у разработчиков. Нынешние операторы LokiBot нередко прибегают к оригинальным методам доставки, например встраивают зловред в PNG-файлы или ISO-образы.

Атака LokiBot на производителя полупроводников

Текущую кампанию обнаружили в конце августа. Она была построена на более традиционных методах — сотрудник организации получил вредоносное электронное письмо. Отправитель сообщения ссылался на отсутствие своего коллеги и просил срочно просмотреть файл во вложении. Там находился вредоносный дистрибутив, замаскированный под архив с документом.

Исследователи отмечают, что при внимательном изучении адресат письма мог заподозрить неладное. В частности, в тексте письма злоумышленники упоминали один документ, тогда как во вложении находился другой. Файл зловреда, скрывавшийся в архиве, назывался Dora Explorer Games. Это название отсылает к героине детского мультфильма Dora the Explorer и не очень подходит для целевой атаки на промышленную организацию. Тем не менее, получивший письмо сотрудник не обратил на эти нестыковки внимания и запустил зловреда. Последствия инцидента компания оставила в секрете.

Результаты расследования

По словам аналитиков, замеченный в атаке IP-адрес в июне уже использовался в похожей кампании. Предыдущие атаки были направлены на компанию German Bakery. Как и в текущей атаке, злоумышленники пытались заставить корпоративных пользователей открыть вредоносное вложение, только тогда это был RTF-файл. Кроме того, письма, полученные сотрудниками German Bakery, были составлены на китайском.

Исследователи предполагают, что обе кампании организовала одна и та же группа, хотя говорить об этом с уверенностью не могут: выборка слишком мала. По их мнению, преступники могут использовать эту инфраструктуру для направленных атак.

«Злоумышленники используют социальную инженерию, — заключают эксперты. — Крайне важно, чтобы сотрудники организации знали о таком типе угроз, проходили регулярные тренинги и внезапные проверки безопасности».

Промышленность под ударом киберпреступников

В 2019 году произошло сразу несколько крупных кибератак на промышленные предприятия. Сначала шифровальщик LockerGoga атаковал норвежскую компанию Norsk Hydro, вынудив ее остановить процессы на производственных участках в нескольких странах. Через несколько дней этот же зловред проник на химические предприятия в США, после чего IT-специалисты потратили несколько недель, чтобы вернуть инфраструктуру в рабочее состояние.

Позднее стало известно о проблемах на заводе в Японии, которые были связаны с активностью зловреда-криптоджекера. Пострадало около 100 компьютеров, а обороты предприятия в результате инцидента упали на 60%.

На Ближнем Востоке ИБ-эксперты обнаружили новую группировку Hexane/Lyceum, которая активно атакует нефтегазовую отрасль. Преступники взламывают телекоммуникационные компании и проводят MitM-атаки с использованием авторского вредоносного ПО.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:03
13:15
10:15
09:15
08:15
07:15
06:15
05:38
17:15
15:59
15:15
14:15
12:15
10:15
09:15
08:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.384
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.