«Лаборатория Касперского»: русскоязычные хакеры атакуют российские промышленные предприятия

Дата: 08.10.2020. Автор: Артем П. Категории: Новости по информационной безопасности
«Лаборатория Касперского»: русскоязычные хакеры атакуют российские промышленные предприятия

«Лаборатория Касперского» 8 октября сообщила о выявлении русскоязычной хакерской группировки, которая проводит кибератаки на российские промышленные предприятия в рамках крупномасштабной шпионской кампании.

Представители «Лаборатории Касперского» отмечают, что группировка имеет собственный набор вредоносных инструментов. Группа имеет название MontysThree, ее активность наблюдается как минимум с 2018 г. но в компании Kaspersky не обнаружили никаких связей между этой группировкой и другими известными российскими проправительственными APT-группами.

Денис Легезо, ИБ-специалист компании Kaspersky, отметил: «Хакеры из MontysThree были замечены только в атаках на IT-системы российских промышленных предприятий, но при этом нет никаких свидетельств тому, что их целями также являются системы промышленного контроля ICS».

По информации «Лаборатории Касперского», группировка MontysThree использует четырехмодульное вредоносное ПО. Один из модулей имеет функционал загрузчика и отвечает за доставку основной полезной нагрузки. Загрузчик скрывается внутри самораспаковывающегося RAR-архива, в котором якобы содержится информация о медицинских тестах, техническая документация и другая информация, которая позволяет убедить сотрудников целевой промышленной организации загрузить файл.

«Лаборатория Касперского»: русскоязычные хакеры атакуют российские промышленные предприятия

Загрузчик использует стеганографию, чтобы избежать обнаружения, при этом основная полезная нагрузка скрыта внутри файла растрового изображения. Основная полезная нагрузка применяет шифрование, чтобы избежать обнаружения.

Вредоносная программа группировки MontysThree позволяет хакерам красть из зараженной системы документы Microsoft Office и PDF, делать скриншоты и собирать информацию о взломанном устройстве, чтобы определить, может ли зараженный компьютер быть им полезен. По словам «Лаборатории Касперского», украденная информация размещается в публичных облачных сервисах Google, Microsoft и Dropbox, что затрудняет обнаружение проводимых кибератак.

«Лаборатория Касперского» резюмирует, что MontysThree не так опасна, как другие киберпреступные группировки, в том числе и русскоязычные, но это всё же угроза, которую не следует игнорировать.

Артем П

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.