01.04.2021 | Эксперты «ЛК» рассказали о новых многоступенчатых атаках на промышленные предприятия |
Эксперты «Лаборатории Касперского» рассказали о сложной вредоносной кампании, в ходе которой злоумышленники с помощью бэкдоров похищают данные японских промышленных предприятий. Вредоносная кампания, названная исследователями «A41APT», включает в себя множество атак киберпреступной группировки APT10 (другие названия Stone Panda и Cicada) с использованием ранее недокументированного вредоносного ПО для доставки трех полезных нагрузок, таких как SodaMaster, P8RAT и FYAnti. Долгосрочная операция по сбору разведданных началась еще в марте 2019 года, но была обнаружена только в ноябре 2020 года, когда появились сообщения об атаках на связанные с Японией компании в 17 регионах мира. Самые недавние атаки специалисты «Лаборатории Касперского» зафиксировали в январе 2021 года. Цепочка заражений представляет собой многоступенчатый процесс, начинающийся с атаки на SSL-VPN путем эксплуатации уязвимостей или с помощью похищенных учетных данных. Основным вредоносным ПО в кампании является Ecipekac, проходящий четырехуровневую «сложную схему загрузки» с использованием четырех файлов. Эти файлы один за другим загружают и дешифруют четыре модуля бесфайлового загрузчика, который в итоге загружает окончательную полезную нагрузку в память. Хотя основной целью P8RAT и SodaMaster является загрузка и выполнение полезной нагрузки, полученной с подконтрольного злоумышленникам сервера, экспертам «Лаборатории Касперского» так и не удалось выяснить, какое именно вредоносное ПО они доставляли на атакуемые Windows-системы. Интересно, что третья полезная нагрузка, FYAnti, представляет собой многоуровневый модуль загрузчика, который проходит еще два последовательных уровня развертывания трояна для удаленного доступа QuasarRAT (или xRAT). «Использующиеся в ходе кампании операции и закладки [...] выполняются исключительно скрытно, что затрудняет отслеживание действий злоумышленников. Основными функциями скрытности являются бесфайловые закладки, обфускация, защита от виртуальных машин и удаление следов активности», - пояснил исследователь «Лаборатории Касперского» Сугуру Ишимару (Suguru Ishimaru). |
Проверить безопасность сайта