Кибератака SalmonSlalom: угроза для промышленных сетей APAC
Источник: ics-cert.kaspersky.com
Недавнее расследование, проведенное Kaspersky ICS CERT, выявило масштабную кампанию SalmonSlalom, нацеленную на промышленные организации в Азиатско-Тихоокеанском регионе (APAC). Эта многоэтапная атака использует законные китайские облачные платформы, такие как myqcloud и Youdao Cloud Notes, для доставки различных вредоносных программ, тем самым избегая обнаружения.
Методы злоумышленников
Особенности атак SalmonSlalom включают:
- Использование собственного файлообменника CDN;
- Общедоступные пакеты для выборочного шифрования;
- Динамические адреса управления (C2);
- Дополнительная загрузка библиотек DLL.
Кампания демонстрирует значительное сходство с тактикой предыдущих атак, использующих трояны удаленного доступа (RATs), такие как Gh0st RAT и FatalRAT, но адаптирована под цель, говорящую на китайском языке.
Методы распространения вредоносного ПО
Основной способ заражения включает рассылку zip-архивов, маскирующихся под законные документы, такие как счета-фактуры и налоговые декларации. Эти архивы отправляются через:
- Электронную почту;
- WeChat;
- Telegram.
Архивы обычно содержат загрузчик первого этапа для FatalRAT, который использует технологии, такие как ASProtect, UPX или NSPack, для уменьшения вероятности обнаружения.
Сложная структура атак
Загрузчики устанавливают первоначальный доступ через HTTP-запросы к Youdao Cloud Notes, получая ответы в формате JSON, что приводит к дальнейшей доставке полезной нагрузки. Этот сложный процесс установки включает извлечение различных конфигураций, позволяющих вредоносному ПО адаптироваться и обходить меры безопасности.
Возможности и поведение вредоносного ПО
Вредоносная программа-бэкдор FatalRAT обладает такими возможностями, как:
- Проверка на наличие изолированных сред;
- Механизмы сохранения реестра;
- Перехват нажатий клавиш.
Она собирает обширную системную информацию и отправляет её обратно на сервер C2. Тактика включает завершение процессов, манипулирование ключами реестра и использование законных двоичных файлов программного обеспечения для дальнейшей эксплуатации.
Пораженные сектора и выявленные угрозы
По данным исследования Касперского, цели атак охватывают разные секторы, включая:
- Производство;
- Информационные технологии;
- Телекоммуникации;
- Здравоохранение.
Анализ также показывает, что злоумышленники используют нестандартные порты для связи C2, что затрудняет обнаружение.
Рекомендации для организаций
На основании полученных данных, организациям в пострадавшем регионе рекомендуется:
- Усилить защитные меры;
- Обратить внимание на динамические методы атаки;
- Изучить структуру общего кода сообщений.
Исследование подчеркивает, что полагаться исключительно на статические индикаторы для обнаружения может быть недостаточно. Важным становится изучение TTP (тактики, техник, процедур), что имеет жизненно важное значение для эффективного отслеживания угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
