Надежный VPN для России – подключайся через наш Телеграмм-бот:
|
Злоумышленники похитили данные из десятков каталогов.
В октябре 2023 года специалисты компании «Доктор Веб» расследовали инцидент, связанный с целевой кибератакой на российское машиностроительное предприятие. Атака началась с рассылки фишинговых писем с темой «расследования» неких уголовных дел по уклонению от уплаты налогов.
Письма якобы отправлялись с подменного адреса от имени следователя Следственного комитета РФ. В них содержались вложения – защищенный паролем zip-архив с вредоносной программой и pdf-документ, который не являлся вредоносным. Он содержал фишинговый текст о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу из него.
Самое первое фишинговое письмо содержало архив Требование 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ – 123123123.zip. В свою очередь, расположенная в нем троянская программа скрывалась в файле Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe.
Одним из последних отправленных сообщений стало следующее:
К нему был прикреплен фишинговый pdf-документ Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf и zip-архив Трeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ – 123123123.zip с таким содержимым:
Как и в более ранних сообщениях, пароль для извлечения файлов из архива атакующие указали и в его названии, и в имени документа Пароль для открытия 123123123.odt. Сам этот документ, как и файлы Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.pdf и СК РФ.png, не являлись вредоносными.
В этом архиве находилось две копии вредоносной программы: Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exe и Дополнительные материалы, перечень вопросов, накладные и первичные документы.exe.
Во всех случаях распространяемым злоумышленниками вредоносным приложением был Trojan.Siggen21.39882. Эта вредоносная программа, известная как WhiteSnake Stealer, обладала возможностью кражи учетных данных и установки дополнительных вредоносных программ на компьютеры жертв. Этот троян, распространяемый через даркнет, послужил первым этапом заражения. Получив соответствующие команды, вредоносная программа собрала и передала злоумышленникам информацию о конфигурации профилей Wi-Fi-сетей инфицированной системы, а также пароли доступа к ним. После чего активировался бэкдор JS.BackDoor.60, который и стал основным инструментом взаимодействия злоумышленников с зараженными системами.
Купи VPN для России через Телеграмм – легко и быстро:
|
Хронология атаки
JS.BackDoor.60 написан на JavaScript и состоит из основного зашифрованного тела и вспомогательных модулей. Через общие функции модули представляют собой дополнительные вредоносные задачи, которые бэкдор может выполнять. Новые модули поступают с удаленного сервера, расширяя возможности трояна.
Для сокрытия своего присутствия JS.BackDoor.60 модифицировал ярлыки в системных каталогах, включая Рабочий стол и Панель задач. В результате при открытии любого ярлыка сначала запускался бэкдор, а затем исходная программа.
Используя JS.BackDoor.60, злоумышленники удаленно управляли зараженной системой и похитили данные из десятков каталогов, включая личные и корпоративные документы. Также хакеры создавали скриншоты с экрана жертвы.
Для аудиоконтроля атакующие задействовали еще один вредонос – BackDoor.SpyBotNET.79. Этот бэкдор записывал звук через микрофон компьютера, но только при обнаружении интенсивности, характерной для человеческого голоса.
Хронология получения задач трояном JS.BackDoor.60
При этом атакующие пытались также заразить систему трояном-загрузчиком Trojan.DownLoader46.24755, однако из-за возникшей ошибки сделать это им не удалось.
По итогам анализа эксперты «Доктор Веб» не смогли связать атаку с известными APT-группировками. Однако инцидент демонстрирует серьезную угрозу от доступных коммерческих вредоносов и социальной инженерии как метода заражения.
Компаниям рекомендуется усилить защиту ИТ-инфраструктуры, особенно рабочих станций и почтовых шлюзов. Также крайне важно регулярно обучать сотрудников правилам кибербезопасности и информировать об актуальных угрозах вредоносного ПО и фишинга.
Кодовое слово дня — безопасность.
Узнай больше — подпишись на нас!
Купить экспресс VPN означает приобретение услуги виртуальной частной сети (VPN), которая предлагает высокую скорость соединения и надежную защиту данных. Экспресс VPN (или ExpressVPN) — это конкретный бренд, известный своим качеством и производительностью, но термин также может использоваться для обозначения любых VPN-сервисов, которые акцентируют внимание на быстрой работе.
Экспресс VPN помогает защитить ваши данные от слежки, что особенно важно при использовании общественных Wi-Fi сетей.
Экспресс VPN позволяет обойти географические блокировки, что дает возможность получать доступ к сайтам и сервисам, недоступным в вашем регионе.
Купить экспресс VPN — это решение для тех, кто ищет быстрый и надежный способ обеспечить безопасность и конфиденциальность в интернете. Такой сервис поможет вам защитить ваши данные, обеспечить высокую скорость соединения и получить доступ к контенту, заблокированному в вашем регионе. Выбирая экспресс VPN, вы делаете инвестицию в свой онлайн-комфорт и безопасность.
