Китайскоязычная кибергруппа атакует оборонные предприятия и госорганы в России, странах Восточной Европы и Афганистане

08.08.2022
Китайскоязычная кибергруппа атакует оборонные предприятия и госорганы в России, странах Восточной Европы и Афганистане

Эксперты «Лаборатории Касперского» в начале 2022 года зафиксировали волну целевых атак на оборонные предприятия и государственные учреждения Афганистана, России и ряда стран Восточной Европы. Всего в ходе расследования специалисты выявили атаки на более чем дюжину организаций. Предположительно, целью злоумышленников был кибершпионаж. Эксперты предполагают, что выявленная серия атак, возможно, связана с деятельностью китайскоязычной кибергруппы TA428. В ней применялись новые модификации известных ранее бэкдоров*.

Атакующим удалось в ряде случаев полностью захватить IT-инфраструктуру. Для этого они использовали хорошо подготовленные фишинговые письма. В них содержалась внутренняя информация, не доступная в публичных источниках на момент её использования злоумышленниками, в том числе Ф. И. О. сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов. К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882. Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление заражённой системой, от пользователя даже не требуется включать выполнение макросов.

В качестве основного инструмента развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Получив необходимые права, злоумышленники приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.

«Целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. Серия атак, которую мы обнаружили, — не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем. Предприятиям и государственным организациям необходимо быть начеку и проводить соответствующую работу по подготовке к отражению сложных целенаправленных угроз», — комментирует Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Полная версия статьи о расследовании доступна по ссылке.

* Бэкдор (англ. backdoor) — вредоносная программа, предназначенная для скрытого удалённого управления заражённой системой. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые производителями программных продуктов. Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер.


Популярные материалы