SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Модульный троян GreyEnergy атакует промышленные предприятия

19 октября 2018 г., пятница, 12:39

Злоумышленники выбирают оптимальные компоненты для атаки на каждую цель и крадут данные из SCADA-систем.

Критическим элементам производственных систем и сетевой инфраструктуре энергетического сектора угрожает модульный зловред GreyEnergy. Киберпреступники, стоящие за кампанией, могут каждый раз выбирать оптимальные способы заражения целевых компьютеров. Пока троян лишь передает на командный сервер сведения об инфицированных устройствах, однако специалисты ESET указывают на схожесть его методов с нападениями группировок BlackEnergy и Telebots.

По словам экспертов, атака нацелена на промышленные предприятия Украины и Польши. Заражение начинается с установки программы-разведчика, в которой эксперты узнали бэкдор FELIXROOT, ранее замеченный в кампаниях на постсоветском пространстве. Этот скрипт сканирует сеть жертвы и крадет учетные данные, необходимые для развертывания основных модулей. Он применяет легитимные инструменты, такие как Nmap или Mimikats, поэтому не привлекает внимание антивирусных систем и обходится без root-привилегий.

Состав модулей, включенных в основную полезную нагрузку, зависит от сведений, собранных на первом этапе. Так, на критически важные серверы, которые перезагружаются крайне редко, зловред устанавливает бесфайловый модуль, в то время как для заражения рабочих станций используется библиотека ServiceDLL, внедряемая в легитимный системный процесс.

Управление атакой осуществляется командным сервером через сеть публичных ретрансляторов сети Tor. Кроме того, злоумышленники используют компьютеры жертвы в качестве прокси-серверов для передачи инструкций C&C. Это позволяет вредоносной программе оставаться незаметной для систем безопасности, так как внутренний трафик не считается источником угрозы и реже сканируется антивирусными приложениями.

Пока GreyEnergy ограничивается перехватом ввода с клавиатуры, отправкой на сервер скриншотов рабочего стола и кражей учетных данных, однако модульная структура зловреда позволяет расширять возможности для атаки. Особое беспокойство вызывает вектор заражения — злоумышленники нацелены на промышленные предприятия, поддерживающие критическую инфраструктуру в области энергетики и транспорта.

Список целей, методы распространения и состав компонентов новой кампании имеют много общего с вредоносом BlackEnergy, который несколько лет назад атаковал украинские энергетические предприятия. Эксперты также обнаружили совпадение части кода GreyEnergy с ранними вариантами скриптов группировки Telebots, стоящей за нападениями вымогателей KillDisk и NotPetya.

В прошлом году специалисты «Лаборатории Касперского» нашли немало общего в исходниках BlackEnergy, KillDisk и NotPetya, что может свидетельствовать об их связи с киберпреступниками, распространяющими GreyEnergy.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.077
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.