«Лаборатория Касперского»: китайскоязычные хакеры атакуют оборонные предприятия России
Китайскоязычная кибергруппа в начале 2022 года несколько раз атаковала государственные и оборонные учреждения России, а также стран Восточной Европы и Афганистана. Об этом сообщили в пресс-службе «Лаборатории Касперского» со ссылкой на экспертов компании, которые предполагают, что целью атак был кибершпионаж.
«Эксперты „Лаборатории Касперского" в начале 2022 года зафиксировали волну целевых атак на оборонные предприятия и государственные учреждения Афганистана, России и ряда стран Восточной Европы. Всего в ходе расследования специалисты выявили атаки на более чем дюжину организаций. Предположительно, целью злоумышленников был кибершпионаж. Эксперты предполагают, что выявленная серия атак, возможно, связана с деятельностью китайскоязычной кибергруппы TA428», — сообщили в пресс-службе.
В ряде случаев атакующие полностью захватили IT-инфраструктуру предприятий. В основном они использовали новые модификации известных ранее вредоносных программ, предназначенных для скрытого удаленного управления зараженной систем, а также техники развития атаки и обхода средств информационной безопасности, отметили в компании.
Участники кибергруппировки использовали фишинговые письма, в которых содержалась внутренняя информация, не доступная в публичных источниках на момент ее использования злоумышленниками. В частности, они использовали ФИО сотрудников, работающих с конфиденциальной информацией, и внутренние кодовые наименования проектов, пояснили эксперты.
«К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017–11882. Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление зараженной системой, от пользователя даже не требуется включать выполнение макросов (набор команд и инструкций, которые группируют вместе в виде единой команды для автоматического выполнения задачи в файлах Word)», — пояснили в пресс-службе.
Для развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей, добавили в компании. На финальном этапе они захватывали контроллер домена и получали полный контроль над рабочими станциями и серверами организации. Далее хакеры приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развернутые в разных странах. Эти же серверы использовались для управления вредоносным ПО.
«Серия атак, которую мы обнаружили, не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем», — отметил cтарший эксперт Kaspersky ICS CERT Вячеслав Копейцев.
Он добавил, что целевой фишинг остается одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. По словам Копейцева, предприятиям и государственным организациям необходимо быть начеку и готовиться к отражению сложных целенаправленных угроз.
