СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
12.03.2024
#ИБ#Инфра

Хакеры с использованием вируса WhiteSnake Stealer атакуют российские машиностроительные предприятия

Хакеры с использованием вируса WhiteSnake Stealer атакуют российские машиностроительные предприятия

Изображение: David Rangel (unsplash)

Неизвестная хакерская группировка провела целевые кибератаки против одного из российских машиностроительных предприятий, в рамках которых на корпоративные адреса организации было отправлено огромное количество писем якобы от имени Следственного комитета России. Каждое такое письмо имело вредоносное вложение в виде вируса-трояна, в случае открытия которого в целевую систему внедрялся JavaScript-бэкдор.

Специалисты по информационной безопасности Dr.Web заявили, что, если судить по набору инструментария, в котором присутствовали инфостиллер, модульный бэкдор, а также программное обеспечение для прослушки через микрофон, в качестве основной цели этой кибератаки стоит рассматривать сбор конфиденциальных данных о сотрудниках машиностроительного предприятия, его инфраструктуре и внутренней IT-сети. Аналитики также зарегистрировали выгрузку конфиденциальной информации, которая включала в себя файлы, скриншоты.

Рассылка фишинговых писем в рамках этой киберпреступной операции осуществлялась с почтового аккаунта @mail.ru. В письмах было два вложения: вредоносный ZIP-архив, который защищался паролем, а также обычный PDF-файл без какого-либо вредоносного содержания, но в котором была отсылка о необходимости скачивания содержимого ZIP-архива.

Во вредоносном ZIP-архиве было два исполняемых файла, два документа для «отвода глаз», а также пароль, который дублировался в названии архива. Стилер в этом случае выступал в качестве начальной ступени заражения: по команде он осуществлял сбор информации о конфигурации Wi-Fi сетей и учётных данных на доступ, запускал прокси-сервер SSH, а также устанавливал вредоносное ПО на второй ступени — JavaScript-бэкдор.

В качестве дополнительного инструментария хакеры использовали бэкдор SpyBotNE, который выступал в качестве программного обеспечения для прослушки через подключённый микрофон. Запись осуществлялась только в тех ситуациях, когда вредоносное ПО регистрировало интенсивность звука, характерную для обычного человеческого голоса

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: