СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
20.06.2020
#Dev#ИБ

Стеганография при кибератаках на промышленные предприятия

Специалисты из подразделения ICS CERT «Лаборатории Касперского» заявили о нескольких произошедших кибератаках на японские, немецкие, итальянские, британские предприятия. Киберпреступники атакуют преимущественно компании промышленной сферы.

Киберпреступники во время совершения атак пользуются специально созданными файлами MS Office, PowerShell-скриптами, а также особыми методами, которые осложняют процесс обнаружения и аналитики найденного вредоносного софта.

На первых этапах кибератаки злоумышленники рассылают сотрудникам промышленных предприятий проработанные, переведенные на язык жертвы фишинговые письма. Вредоносный софт, который содержится в email, начинает «работать», если ОС пользователя представлена на том же языке, что и письмо. Например, если письмо предназначено для немецкой организации, то текст email и вредоносный макрос с текстом в MS Office также написаны на немецком. При запуске вредоносной программы на устройство жертвы ставятся вирусы-трояны типов Ursnif и Bebloh.

Процесс атаки происходит следующим образом:

  1. Киберпреступники отсылают жертве фишинговый email с закрепленным документом, с просьбой его срочно открыть.
  2. В файле MS Office или Excel есть специальный макрос. Открыв документ, пользователю предлагается запустить исполнение содержимого документа. После запуска макрос выполняется.
  3. Запущенный макрос расшифровывает и запускает скрипт PowerShell (запуск осуществляется скрытно).
  4. Скрипт PowerShell загружает определенную картинку с публичных хостингов изображений, запускает процесс извлечения данных.
  5. В скачанном изображении данные скрыты с помощью технологии стеганографии, поэтому вредоносный софт извлекает их из пикселей, по заданным алгоритмам номерам. Применение стеганографии – способ обходя ряда защитных средств.
  6. Извлеченные и расшифрованные данные представляют собой второй PowerShell-скрипт, выполнение которого запускается.
  7. После декодирования содержимого вредоносный софт получает третий PowerShell-скрипт – обфусцированный вариант вредоносного ПО семейства Bebloh.

Волна кибератак такого типа в 2020 г. обрушилась на промышленные организации и корпорации. Большинство из них – разработчики и поставщики продуктов для компаний промышленной сферы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: