Обнаружена многоступенчатая кибератака на десятки предприятий Восточной Европы

Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию с применением продвинутых тактик и инструментов для шпионажа и кражи данных.

В сентябре 2022 года в рамках исследования инцидента эксперты «Лаборатории Касперского» обнаружили новые образцы вредоносного ПО семейства MATA, которые ранее связывали с группой Lazarus. Злоумышленники проникли в сеть одного из предприятий с помощью целевых фишинговых писем, которые начали рассылаться в августе 2022 года. После этого атакующие изучили корпоративную сеть жертвы, похитили аутентификационные данные пользователей и смогли подключиться к терминальному серверу материнской компании. В головной организации злоумышленникам удалось повторить успех и добраться до контроллера домена. Скомпрометировав информационные системы, связывающие материнское предприятие с дочерними — сервер финансовой системы и панель управления защитным решением для проверки требований ИБ — злоумышленники получили доступ к сетям нескольких десятков дочерних организаций.

Атакующие продемонстрировали широкие возможности по обходу и использованию в собственных целях защитных решений, установленных в атакованных средах, пользуясь уязвимостями одного из них, а также небезопасными настройками другого. Кроме того, чтобы скрыть вредоносную активность, они применяли множество техник: использование руткитов и портов, уязвимых драйверов, маскировку файлов под пользовательские приложения, открытых для коммуникации легитимных программ, многоуровневое шифрование файлов и сетевой активности вредоносного ПО. Эти и другие аспекты демонстрируют высокий уровень подготовки атакующих.

Для реализации атаки злоумышленники использовали сразу три новых поколения вредоносного ПО MATA. Одна из них является доработанной версией MATA 2-го поколения. Следующая, которой эксперты «Лаборатории Касперского» присвоили имя MataDoor ещё осенью 2022 года, была написана с нуля и может рассматриваться как версия 4-го поколения. Версия 5-го поколения также была создана с нуля. Другой примечательной составляющей этой сложной атаки является то, что целями злоумышленников также стали c ерверы, работающие под управлением UNIX-подобных операционных систем. Захват панели управления защитным решением , в совокупности с применением версии вредоносного ПО MATA для Linux , позволило злоумышленникам получить доступ практически ко всем системам атакованных предприятий, в том числе к тем, которые не входили в домен.

При этом в ситуациях, когда установить прямую коммуникацию с целевой системой не представлялось возможным, атакующие использовали модуль для работы с USB-носителями. Он позволял обмениваться данными с изолированными сетями, которые могут хранить потенциально интересную для злоумышленников информацию.

Большая часть вредоносных документов Word содержит корейский шрифт Malgun Gothic ( 맑은 고딕 ). Это указывает на то, что разработчик может владеть корейским языком или использует систему, работающую с корейской локализацией. Этот и много других артефактов, найденных во время расследования, указывают на связь с хорошо известной APT Lazarus. Однако однозначно определить, кто стоит за атакой, невозможно. В новых версиях зловреда MATA были обнаружены технические приёмы, набор которых указывает на другие группировки — из альянса Five Eyes. Однако и те, и другие находки могут быть «ложными флагами» для сокрытия истинного бенефициара атаки.

«Защита промышленного сектора от таргетированных атак требует комплексного подхода, сочетающего надёжные методы обеспечения кибербезопасности с проактивными действиями. Глубокие и систематические исследования „Лаборатории Касперского” тактик и техник, используемых злоумышленниками, позволяют нам следить за постоянно меняющимся ландшафтом киберугроз, а также своевременно обнаруживать новые кампании различных APT -группировок. Постоянно отслеживая новые находки исследователей и внедряя новейшие решения для обеспечения безопасности, предприятия могут выстроить эффективную стратегию защиты», — комментирует Вячеслав Копейцев, эксперт по кибербезопасности Kaspersky ICS CERT.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!