Полезные знания Таргетированная атака на промышленные предприятия и государственные учреждения

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
В январе 2022 года эксперты выявили волну таргетированных атак на предприятия оборонно-промышленного комплекса и государственные учреждения нескольких стран.


В ходе расследования удалось обнаружить более дюжины атакованных организаций. Мишенями атаки стали заводы, конструкторские бюро и НИИ, государственные агентства, министерства и ведомства нескольких стран Восточной Европы (Белоруссия, Россия, Украина) и Афганистана.

Атакующим удалось проникнуть на десятки предприятий, а на некоторых даже полностью захватить IT-инфраструктуру и взять под контроль системы управления защитными решениями.

Анализ информации, полученной в ходе расследования инцидентов, позволяет предположить, что целью данной серии атак был кибершпионаж.

[H2]Первоначальное заражение[/H2]

Проникновение в сеть предприятия осуществляется при помощи хорошо подготовленных фишинговых писем, в том числе использующих информацию, специфическую для атакуемой организации и не доступную в публичных источниках. Это может свидетельствовать о проделанной заранее подготовительной работе (например, информация могла быть получена в результате предыдущих атак на ту же организацию или её сотрудников, либо на связанные с ней организации или частных лиц).

Документы Microsoft Word, вложенные в фишинговые письма, содержали вредоносный код, эксплуатирующий уязвимость . Уязвимость позволяет выполнить произвольный код – в исследованных атаках это основной модуль вредоносного ПО PortDoor – без дополнительных действий со стороны пользователя.

Предыдущая серия атак, где также использовалось вредоносное ПО PortDoor, была специалистами компании Cybereason. В ходе нашего исследования была обнаружена новая версия PortDoor.


Схема первоначального заражения системы

После запуска PortDoor собирает общие сведения о зараженной системе и отправляет их на сервер управления вредоносным ПО. В случаях, когда зараженная система оказывается интересна злоумышленникам, они используют функциональность PortDoor для удаленного управления системой и установки дополнительного вредоносного ПО.

[H2]Дополнительное вредоносное ПО[/H2]

Атакующие использовали сразу пять вредоносных программ класса backdoor – вероятно, для резервирования канала связи с зараженной системой на случай, если одна из вредоносных программ будет обнаружена и удалена защитным решением. Использованные бэкдоры предоставляют обширную функциональность для контроля над зараженной системой и сбора конфиденциальных данных.

Из шести бэкдоров, обнаруженных на зараженных системах, пять ( , , и ) ранее использовались в атаках, которые другие исследователи отнесли к APT TA428. Шестой бэкдор оказался новым и в других атаках не встречался.

[H2]Развитие атаки[/H2]

Закрепившись на первой системе, злоумышленники пытаются распространить вредоносное ПО на другие компьютеры в сети предприятия, для доступа к которым они используют результаты сканирования сети, а также учетные данные пользователей, украденные ранее.

В качестве основного инструмента развития атаки используется хакерская утилита Ladon (популярна в Китае), объединяющая в себе инструментарий для сканирования сети, поиска и эксплуатации уязвимостей, атак на пароли и т.д. Также злоумышленники активно используют стандартные утилиты, входящие в состав операционной системы Microsoft Windows.

Финальным этапом развития атаки является захват контроллера домена и получение полного контроля над всеми рабочими станциями и серверами организации.

В ходе атаки злоумышленники активно использовали техники dll hijacking и process hollowing для противодействия детектированию вредоносных программ защитным ПО.

[H2]Кража данных[/H2]

Получив права доменного администратора, злоумышленники приступали к поиску и загрузке документов и других файлов, содержащих конфиденциальные данные атакованной организации, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались как серверы управления вредоносным ПО первого уровня.

Злоумышленники помещали украденные файлы в зашифрованные ZIP-архивы, защищенные паролем. После получения собранных данных серверы управления вредоносным ПО первого уровня пересылали полученные архивы на сервер управления второго уровня, расположенный в Китае.


Схема передачи украденных данных с зараженных систем

[H2]Кто стоит за атакой?[/H2]

Отмечено значительное совпадение Tactics, Techniques, and Procedures (TTPs) с активностью APT TA428.

В ходе исследования выявлено вредоносное ПО и серверы управления, ранее использованные в атаках, которые другие исследователи отнесли к APT TA428.

Есть также ряд косвенных улик, подтверждающих наш вывод.

Мы считаем, что выявленная нами серия атак c высокой вероятностью является продолжением уже известной кампании, которая была описана в исследованиях , и и с большой вероятностью отнесена исследователями к активности APT TA428.

[H2]Заключение[/H2]

Результаты исследования показывают, что целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. В ходе атаки атакующие в основном использовали известные ранее вредоносные программы класса backdoor, а также стандартные техники развития атаки и обхода детектирования антивирусных решений.

Обнаруженная нами серия атак не является первой в кампании и, учитывая тот факт, что злоумышленникам удаётся достигать определённого успеха, мы считаем высоковероятным повторение подобных атак в будущем. Промышленным предприятиям и государственным учреждениям необходимо провести обширную работу, чтобы успешно отразить подобные атаки.

 
Сверху Снизу