«Лаборатория Касперского» заявила о хакерских атаках на работающие в сфере автоматизации бизнеса российские компании

Kevin Horvat (unsplash)
Специалисты по информационной безопасности «Лаборатории Касперского» сообщили об обнаружении целенаправленных кибератак хакеров на отечественные организации, работающие в сфере реализации и сопровождения программного обеспечения для автоматизации бизнеса. Чтобы заразить корпоративные устройства, киберпреступники применяли ранее неизвестный бэкдор под названием BrockenDoor, а также другие аналогичные вредоносные программы из семейств Remcos и DarkGate.
По словам экспертов, в случае успешного заражения целевых устройств злоумышленники могли получить доступ к внутренним хранилищам атакованных компьютеров и выкрасть конфиденциальную информацию.
В «Лаборатории Касперского» подчеркнули, что чаще всего хакеры проводили подобные кибератаки с применением фишинговых рассылок. На первом этапе киберпреступники рассылали фишинговые письма якобы от имени различных организаций, работающих в сфере разработки решений для автоматизации бизнеса. В качестве получателей выступали компании, специализирующиеся на внедрении подобных решений у своих клиентов, их настройке, сопровождении и консультировании. В таких фишинговых письмах мошенники добавляли просьбу прочитать некое техническое задание, прикреплённое в архиве.
В одном из вариантов этой кибератаки в прикреплённом архиве находился исполняемый файл, позволявший провести кибератаку с применением техники Right-to-Left Override (RLO). RLO — специальный непечатный символ Unicode, зеркально отражающий расположение знаков.
Чаще всего этот символ применяется при работе с языками, в которых текст идёт справа налево, например, арабским или ивритом. Однако хакеры могут использовать его для подмены названия и расширения файлов. В ходе проведения атаки пользователь запускал файл на своём компьютере, не предполагая, что он вредоносный.
В ещё одном варианте кибератаки в архиве находилась карточка организации — документ в формате PDF и LNK-файл (ярлык). Если потенциальная жертва кликала на вредоносный ярлык, происходил запуск цепочки заражения.



