Поделиться
Металлургов и химпром терроризируют с помощью легальных программ
Названная в честь известного южнокарейского музыкального хита кампания Gangnam Industrial Style с помощью фишинговых писем, а также бесплатных и легальных утилит крадет данные из промышленного сектора в Южной Корее, Китае, Таиланде и других странах.
«Опа гангнам стайл»
Несколько сотен промышленных предприятий стали жертвой широкомасштабной кибершпионской кампании, получившей название Gangnam Industrial Style. Ее организаторы используют новую версию давно известного вредоноса для кражи важных данных.
Атака начинается со фишингового письма с вредоносными вложениями, замаскированными под PDF-файлы. Запрятанный в них вредонос Separ крадет сведения из браузеров и почтовых клиентов, а также охотится за разного рода документами и изображениями.
К настоящему времени Gangnam Industrial Style (название кампании — отсылка к хиту Gangnam Style корейского рэпера Psy), скомпрометировала около 200 систем. Почти 60% жертв располагаются в Южной Корее, и по большей части это компании, относящиеся к тяжелой промышленности: производители стали, труб, запорно-регулирующей арматуры, а также компания, занимающаяся строительством химического завода, машиностроительная фирма и другие организации.
Одной из жертв стал поставщик оборудования для критической промышленной инфраструктуры Южной Кореи. Атакованы также компании в Таиланде (на втором есте после Южной Кореи), Китае (на третьем месте), Японии, Индонезии, Турции, Эквадоре, Германии и Великобритании.
Каждое фишинговое письмо готовится специально под конкретную жертву. Экспертам CyberXSection 52 удалось заполучить копию письма представителю дочерней структуры Siemens с запросом коммерческого предложения о строительстве электростанции в Чешской Республике. К письму прилагались диаграмма со структурой будущей станции и общедоступный технический документ о том, как работают газовые электростанции.
В другом «коммерческом предложении» предлагалось рассмотреть возможность строительства угольной электростанции Индонезии. Автор выдавал себя за дочернюю структуру японского конгломерата. Что характерно, на скриншотах все тексты написаны на очень плохом английском.
Проникнув на машину, Separ собирает логины и пароли из браузеров и почтовых клиентов, а также ищет определенные документы по расширениям файлов.
По утверждению исследователей, кампания продолжается и в настоящее время.
Все свое несу с собой
Separизвестен как минимум с 2013 г., однако за прошедшие шесть лет он много раз модернизировался. Волна атак с использованием этого вредоноса была отмечена в начале 2019 г., но даже по сравнению с тем периодом Separ обзавелся новыми функциями.
Большая часть инструментария, которую Separ «приносит с собой», это общедоступные программы, такие как BrowserPasswordDumpv6.0 и EmailPasswordDumpv3.0, разработанные Security Xploded, FTP-клиент NcFTPPut 3.2.5, TheLaZagneProject, deltree, Command Line Process Viewer/Killer/Suspender (редактор процессов для Windows NT/2000/XP), защищенный FTP-клиент MOVEit Freely и др.
«Использование таких инструментов — распространенная и очень опасная тактика, поскольку в большинстве случаев эти инструменты сами по себе не считаются вредоносными и антивирусы их не “подсвечивают”, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Это обеспечивает скрытность атак и затрудняет их обнаружение. Для защиты необходимо использовать “поведенческие” решения. И, естественно, персонал компаний необходимо регулярно обучать выявлению фишинговых атак. Даже самых замысловатых».
Поделиться
Короткая ссылка
