Комунальні служби США потрапили під прицільну кібератаку

08:53
Комунальні служби США потрапили під прицільну кібератаку

     Експерти повідомили про спрямованої кібератаці на три американські компанії в сфері ЖКГ. Зловмисники, які імовірно входять в спонсороване якоюсь державою угруповання, намагалися встановити невідомий раніше RAT-троян.

      За даними фахівців, шкідливі повідомлення розсилали з 19 по 25 липня — оператори кампанії замаскували їх під лист від однієї з регулюючих організацій. У тексті адресату повідомляли про провал сертифікації і відправляли за подробицями в прикладений файл Word. Вбудовані в документ макроси завантажували і встановлювали RAT-троян, який отримав назву LookBack.

Архітектура і можливості трояна LookBack
        Можливості написаного на C ++ шкідника включають читання системної інформації, створення знімків екрану і виконання команд, пересування миші, перезавантаження комп'ютера. Творці трояна забезпечили його декількома модулями:
    — Засоби комунікації з віддаленим сервером — проксі-утиліта GUP і комунікаційний компонент SodomNormal, який передає їй на відправку дані від RAT. Проксі-утиліта в свою чергу пересилає інформацію зловмисникам по HTTP-з'єднанню.
     - Завантажувач на основі легітимної бібліотеки libcurl.dll, в яку додана функція роботи з командами оболонки.
     - Основний компонент SodomMain, що забезпечує віддалений контроль над комп'ютером.
  Як розповіли аналітики, злочинці постаралися замаскувати свою присутність на комп'ютерах жертви. Назва процесу GUP збігається з однією з програм, з якої працює Notepad ++. Цій же меті служить вищезгадана libcurl.dll — злочинці перетворюють її на засіб доставки RAT, додаючи одну нову функцію.
Атрибуція атак LookBack
     Аналітики пов'язали інциденти з угрупованням APT10, яке в 2018 році провело схожі атаки на декількох японських бізнесменів. Такий висновок експерти зробили на основі використаних Word-макросів, в яких використовується та ж техніка маскування, що і в торішніх випадках.
     Ще одне свідчення на користь цієї версії — проксі-механізм LookBack, який нагадав дослідникам інструменти APT10. Проте, оскільки ні сам троян, ні використана інфраструктура раніше не були помічені в кібератаках, від однозначних висновків фахівці утрималися.
       «Хоча остаточна атрибуція потребують подальшої роботи, загроза подібних кампаній для сфери ЖКГ безсумнівна, — вказали експерти. — Судячи з фішингових послань, зловмисники добре знайомі з пристроєм цієї галузі, що дозволило їм скласти переконливі листи. Такі кампанії становлять загрозу для всіх, хто користується послугами атакованих організацій, тому і вплив їх слід оцінювати ширше, ніж [в разі одиничних інцидентів в рамках окремих інфраструктур] ».

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.