Эксперты «ЛК» рассказали о новых многоступенчатых атаках на промышленные предприятия

Ср 31 Март 2021 12:54

Эксперты «Лаборатории Касперского» рассказали о сложной вредоносной кампании, в ходе которой злоумышленники с помощью бэкдоров похищают данные японских промышленных предприятий.

Вредоносная кампания, названная исследователями «A41APT», включает в себя множество атак киберпреступной группировки APT10 (другие названия Stone Panda и Cicada) с использованием ранее недокументированного вредоносного ПО для доставки трех полезных нагрузок, таких как SodaMaster, P8RAT и FYAnti.

Долгосрочная операция по сбору разведданных началась еще в марте 2019 года, но была обнаружена только в ноябре 2020 года, когда появились сообщения об атаках на связанные с Японией компании в 17 регионах мира.

Самые недавние атаки специалисты «Лаборатории Касперского» зафиксировали в январе 2021 года. Цепочка заражений представляет собой многоступенчатый процесс, начинающийся с атаки на SSL-VPN путем эксплуатации уязвимостей или с помощью похищенных учетных данных.

Основным вредоносным ПО в кампании является Ecipekac, проходящий четырехуровневую «сложную схему загрузки» с использованием четырех файлов. Эти файлы один за другим загружают и дешифруют четыре модуля бесфайлового загрузчика, который в итоге загружает окончательную полезную нагрузку в память.

Хотя основной целью P8RAT и SodaMaster является загрузка и выполнение полезной нагрузки, полученной с подконтрольного злоумышленникам сервера, экспертам «Лаборатории Касперского» так и не удалось выяснить, какое именно вредоносное ПО они доставляли на атакуемые Windows-системы.

Интересно, что третья полезная нагрузка, FYAnti, представляет собой многоуровневый модуль загрузчика, который проходит еще два последовательных уровня развертывания трояна для удаленного доступа QuasarRAT (или xRAT).

«Использующиеся в ходе кампании операции и закладки [...] выполняются исключительно скрытно, что затрудняет отслеживание действий злоумышленников. Основными функциями скрытности являются бесфайловые закладки, обфускация, защита от виртуальных машин и удаление следов активности», - пояснил исследователь «Лаборатории Касперского» Сугуру Ишимару (Suguru Ishimaru).

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 127 дней 14 часов 19 минут 21 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.