Поделиться
«Доктор Веб»: предприятия ТЭК России подверглись спам-атаке с целью промышленного шпионажа
Компания «Доктор Веб», российский разработчик антивирусных средств защиты информации под маркой Dr.Web, провела исследование спам-атаки с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Первую волну кампании специалисты зафиксировали в апреле 2020 г., последняя наблюдаемая активность злоумышленников датируется сентябрем.
Рассылка писем проходила в два этапа. Изначально спам-сообщения содержали офисные документы, автоматически загружающие изображения, и предназначались для выявления тех, кто в дальнейшем гарантированно откроет письма с вредоносным вложением. Письма следующей фазы атаки содержали уже вредоносное вложение, также в виде офисного документа.
Исследование инцидента началось после того, как один из пользователей антивируса Dr.Web обратился к специалистам компании «Доктор Веб», передав образцы полученных писем.
Аналитики пришли к выводу, что вероятным сценарием являлась установка специализированных троянов на локальные серверы, критичные для функционирования информационной системы пользователя (контроллеры домена, почтовые серверы, интернет-шлюзы) с целью последующего хищения документов и электронных писем. Таким образом, речь идет о промышленном шпионаже.
«Проведенное исследование также позволяет сделать выводы о “китайском следе” этой атаки. Об этом говорит совокупность признаков, в частности, схожесть доменов управляющих серверов, использованных атакующими, с теми, которые использовались при целевой атаке на государственные и финансовые учреждения России и Монголии в 2015 г.», – отметил руководитель антивирусной лаборатории «Доктор Веб» Игорь Здобнов.
В ходе атаки на предприятия ТЭК использовался троянец-загрузчик, предназначенный для последующей загрузки других вредоносных программ. Также специалистам «Доктор Веб» удалось выявить два вида троянцев-бэкдоров – один из них является новейшим, а второй использовался в APT-атаке на госучреждения Казахстана и Киргизии.
Подобные атаки весьма опасны для предприятий. Если хотя бы один сотрудник откроет письмо с вредоносным вложением, потребуется тщательное лечение всей сети или того изолированного сегмента, в котором находилось инфицированное устройство.
Во избежание подобных атак необходимо организовать фильтрацию почты от вирусов и спама на почтовом сервере, одновременно обеспечив антивирусную защиту самого сервера. У «Доктор Веб» для этого предназначены продукты Dr.Web Mail Security Suite и Dr.Web Server Security Suite. Письма с вредоносными вложениями не должны попадать на компьютеры сотрудников, а злоумышленники не должны проникнуть на сервер обработки почты. Компьютеры сотрудников должны быть защищены корпоративным антивирусом, что не позволит атакующим избежать внимания со стороны специалистов по безопасности компании, отмечают в компании «Доктор Веб».
Злоумышленники обычно тщательно готовятся к атаке, вредоносные файлы проходят специальное тестирование и не обнаруживаются используемым средствами защиты (список которых киберпреступники могут определить заранее, например, по условиям проведенных тендеров). Так было и на этот раз. Но отправка файлов в облачный анализатор Dr.Web vxCube мгновенно показала их вредоносную сущность: сервис позволяет воспроизвести действия файла в песочнице «Доктор Веб» и оперативно получить отчет о всех его действиях.
До установки новых приложений или обновлений к ним «Доктор Веб» рекомендует использовать Dr.Web vxCube для выяснения функциональности и истинного назначения файлов различного типа, в том числе офисных документов.
Атака проводилась с зарубежных серверов и имитировала сервисы другого государства, причем новостные, чтение которых явно не входит в должностные обязанности подавляющего большинства сотрудников – граждан России. «Доктор Веб» рекомендует применять ограничения офисного контроля Dr.Web для составления списка используемых в повседневной работе ресурсов.
Поделиться
Короткая ссылка
